1
我收到來自其他站點的傳入POST,下面是我目前如何獲取它。我是Django的新手,但很少有東西會跳出來,我想知道我是否應該擔心。Django和SQL注入示例
SQL注入:正如我不能清理後的數據使用request.POST['message']開放是SQL注入? 安全:有沒有更好的方法來做到這一點?
@csrf_exempt
def incoming_message(request):
if request.POST:
# Match incoming keyword.
keyword = Keyword.objects.get(keyword=request.POST['message'])
我不明白是什麼問題,django會做什麼才能正確地逃避您的輸入 – Bryan
我的擔心是SQL注入,在其他語言中,我嘗試過允許直接過濾等,而不先清理數據是非常糟糕的,並打開一個很大的安全缺陷。 – GrantU