0
據我所知(我沒有深入研究django的管理源代碼),Django的管理員直接將GET查詢參數轉換爲查詢過濾條件。django - 允許任意用戶輸入的數據輸入到過濾器() - 這是安全的嗎?
我想知道,這種方法足夠安全,可用於面向用戶的應用程序嗎?我有一個數據列表,它必須接受任意的WHERE子句,並且我正在考慮通過將GET參數轉換爲字典來實現它,以便它可以傳遞到queryset的filter()方法中。
A
回答
0
我認爲正確的答案是:「不,這不是安全的」
http://www.djangoproject.com/weblog/2010/dec/22/security/
的Django剛剛發佈的安全修復1.2.4和1.3b1防止用戶任意構建查詢過濾器。充分了解底層數據模型和正則表達式的用法,可以提取任意信息,例如用戶的密碼哈希。
3
是的。
輸入將被轉義,所以不會有SQL注入攻擊或類似的東西。但是,輸入可能對您正在搜索的字段無效。或者它可能根本沒有意義,所以最好做一些形式的驗證(如輸入日期必須大於其他日期,輸入值必須小於X等)
但是如果您想要將用戶收到的數據顯示爲頁面的一部分,則需要確保正確地轉義該數據。 Documentation on the autoescape tag
相關問題
- 1. 是否有任何安全漏洞允許curl_setopt PHP函數內未經過濾的用戶輸入?
- 2. 允許用戶輸入HTML - 這是明智的嗎?
- 3. 這是sql輸入驗證安全嗎?
- 4. 「允許任意負載= YES」的應用傳輸安全阻止
- 5. 安全的用戶輸入
- 6. 允許用戶跳過輸入輸入,只需按Enter鍵
- 7. PHP用戶輸入數據安全
- 8. Rails安全性:允許斜槓作爲用戶輸入
- 9. 這是什麼意思,只允許預期的輸入在PHP?
- 10. 來自用戶的安全輸入。這個功能好嗎?
- 11. window.prompt允許用戶通過選擇框輸入嗎?
- 12. 用戶輸入,不允許相同的輸入兩次
- 13. 輸入安全或輸入安全的類型是什麼意思?
- 14. 過濾用戶輸入
- 15. 使用隱藏輸入檢索用戶數據安全嗎?
- 16. KnockoutJS - 過濾用戶輸入
- 17. 過濾用戶輸入
- 18. 防止用戶輸入過大PHP「允許的內存大小」
- 19. 只允許數字輸入
- 20. 如何允許用戶輸入java
- 21. EXCEL VBA過濾器用戶輸入
- 22. 如何限制用戶輸入劍道過濾器輸入?
- 23. 任何Web瀏覽器允許寫入標準輸出嗎?
- 24. 允許用戶選擇輸入
- 25. 允許用戶輸入變量(Python)
- 26. ComboBox不允許用戶輸入
- 27. 允許用戶只輸入文本?
- 28. 只允許A,B,0-9和*輸入數據過濾器在JavaScript
- 29. jQuery的日期選擇器與文本輸入,它不允許用戶輸入
- 30. 不允許用戶在輸入中輸入HTML標籤