2
應該將來自用戶的數據(如Cookie值,路徑中的可變部分,查詢參數)視爲不安全並以特定方式處理? Flask是否已經對轉義輸入數據進行了清理,以便將它傳遞給函數test(input_data)是安全的?請求數據已經被Flask消毒了嗎?
A
回答
3
除了從原始HTTP請求中解析數據之外,Flask沒有要求數據請求。它無法知道任意函數有什麼限制。這是由你來檢查任何約束。所有數據默認都是字符串。請勿使用eval或exec。使用數據庫驅動程序的參數化查詢來避免SQL注入。如果您使用Jinja呈現模板,默認情況下它將轉義數據以用於HTML。
相關問題
- 1. 在AJAX請求中消毒POST數據
- 2. http請求已經從HTTPS被數據塊
- 3. System.Net.WebException:請求已中止:請求已被取消
- 4. TFS簽入請求已中止:請求已被取消
- 5. HttpWebRequest的:請求已中止:請求已被取消
- 6. 數據庫已經創建好了嗎?
- 7. cv :: adaptiveBilateralFilter已經消失了嗎?
- 8. 郵件數據已被消毒後發生AJAX錯誤
- 9. 請求被中止:請求被取消
- 10. Flask接受未經處理的請求數據流?
- 11. Matplotlib surface_plot colormap被Nan的毒死了嗎?
- 12. 消毒數據庫
- 13. 消毒HTML數據
- 14. 消毒SQL數據
- 15. 請求已被黑洞 - CakePHP
- 16. UDP數據報中發送的消息沒有被消毒?
- 17. 流星:修改數據已經被公佈了方法
- 18. 用groovy和數據發送POST已經被URL編碼了
- 19. 數據的消毒/清理
- 20. zend框架消毒數據
- 21. Rails的5試圖生成非消毒請求的URL參數
- 22. 如何檢查已經請求ajax數據?
- 23. Alamofire請求被取消
- 24. http服務器能檢測到客戶端已經取消了他們的請求嗎?
- 25. java.lang.IllegalStateException:的getInputStream()已經被調用此請求+ Struts2的和JSON
- 26. java.lang.IllegalStateException:已經爲此請求調用了getReader()
- 27. 如何取消或忽略已經開始的排球請求?
- 28. 取消已經釋放的對象中的塊請求
- 29. fiddler http請求和病毒
- 30. 綜合屬性已經被alloc/init -ed了嗎?
這就是爲什麼我問 - 我不知道是否存在可能導致代碼執行的代碼(通過字節碼或者某些方式),因此如果在unicode/unicode代碼中使用unicode或int, int是預期的(規則「不信任用戶輸入」)。 「安全」我的意思是 - 妥善逃脫/消毒,因此在進一步加工中安全 – LAdas
它沒有消毒,但通常不是問題。不要在傳入的任何東西中使用'exec',或者在原始sql語句中使用它,就像任何類型的輸入一樣。 –
沒有辦法更具體地回答這個問題,它是無限的。 – davidism