ユーザーが検索クエリを入力して、この検索条件に一致するモデルを取得できる Web アプリがあります。ここに私の方法があります:
@staticmethod
def searchBody(query):
'''
Return all entries whose body text contains the query.
'''
return Entry.objects.get(text__icontains=query)
@staticmethod
def searchTitle(query):
'''
Return all entries whose title text contains the query.
'''
return Entry.objects.get(title__icontains=query)
@staticmethod
def searchAuthor(query):
'''
Return all entries whose author text contains the query.
'''
return Entry.objects.get(author.icontains=query)
私の質問は単純です: これは現状では安全ですか? 言い換えれば、incontains
必要な文字列エスケープ操作を実行して、SQL または Python コードをクエリに挿入して攻撃を仕掛けることができないようにしますか?