SQLAlchemy 查询是否容易受到注入攻击?
Is a SQLAlchemy query vulnerable to injection attacks?
我有以下使用 like 搜索博客的查询。我不确定这样做是否会让自己容易受到 SQL 注入攻击。 SQLAlchemy 如何处理这个问题?安全吗?
search_results = Blog.query.with_entities(Blog.blog_title).filter(Blog.blog_title.like("%"+ searchQuery['queryText'] +"%")).all()
无论您使用什么数据库(sqlite3、psycopg2 等),底层的 db-api 库都会转义参数。 SQLAlchemy 只是将语句和参数传递给 execute,驱动程序会做任何需要的事情。假设您不是自己编写包含参数的原始 SQL,那么您就不容易受到注入攻击。您的示例不容易受到注入攻击。
我有以下使用 like 搜索博客的查询。我不确定这样做是否会让自己容易受到 SQL 注入攻击。 SQLAlchemy 如何处理这个问题?安全吗?
search_results = Blog.query.with_entities(Blog.blog_title).filter(Blog.blog_title.like("%"+ searchQuery['queryText'] +"%")).all()
无论您使用什么数据库(sqlite3、psycopg2 等),底层的 db-api 库都会转义参数。 SQLAlchemy 只是将语句和参数传递给 execute,驱动程序会做任何需要的事情。假设您不是自己编写包含参数的原始 SQL,那么您就不容易受到注入攻击。您的示例不容易受到注入攻击。