标签：python security sql django django-q

我似乎找不到任何资源来解释Django内置的复杂查询(Q对象或F对象)的安全性.是否可以在这些查询中注入SQL攻击？我做了一个小测试：

from models import *
from django.db.models import Q
q = MyModel.objects.filter(Q(mycolumn__contains='%; DROP DATABASE mydatabase;'))
print q
>>> []
print q.query
>>> SELECT `mydatabase_mytable`.`mycolumn` FROM `mydatabase_mytable` WHERE 
    `mydatabase_mytable`.`mycolumn` LIKE BINARY %\%; DROP DATABASE mydatabase;% 

这似乎没有丢弃我的数据库.这里发生了什么？

解决方法:

从SQL中可以看出,Django正在逃避LIKE子句. Here是对该案例中发生的事情的参考.

一般来说,Django确实可以保护您免受SQL注入攻击. Here是他们的安全页面.请注意,您可能会因执行自定义SQL或不小心使用“额外”而遇到麻烦,否则您将受到保护.

标签：python,security,sql,django,django-q
来源： https://codeday.me/bug/20190609/1206736.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。