Django request.POST.get SQL注入

1 投票

1 回答

921 浏览

提问于 2025-04-18 01:39

我现在正在使用 request.POST.get() 方法来获取 POST 数据。我想知道这个方法获取的是原始的 POST 数据，还是已经进行了正确的转义，并且能够防止 SQL 注入攻击。

提前感谢你的帮助。

Galaf

django sql injection web security data sanitization post data handling

1 个回答

如果你直接把 request.POST 的结果放进 SQL 查询里（也就是说，没有使用 Django 的 ORM），那么你很可能会遭遇 SQL 注入攻击。

但是，如果你使用了 Django 的 ORM（或者其他写得很好的 ORM，比如 SQLAlchemy），那么你输入的数据会被处理得很干净，不会有安全问题。

简单来说，你是安全的。

回答于 2025-04-18 由 Python大师

分享举报