python - Django Q オブジェクト (複雑なクエリ) は安全ですか?

翻译自：https://stackoverflow.com/questions/27116584 2014-11-25T00:11:55.643

534 次

Django に組み込まれている複雑なクエリ (Q オブジェクトまたは F オブジェクト) のセキュリティを説明するリソースが見つからないようです。これらのクエリに SQL 攻撃を挿入することは可能ですか? 私は小さなテストをしました：

from models import *
from django.db.models import Q
q = MyModel.objects.filter(Q(mycolumn__contains='%; DROP DATABASE mydatabase;'))
print q
>>> []
print q.query
>>> SELECT `mydatabase_mytable`.`mycolumn` FROM `mydatabase_mytable` WHERE 
    `mydatabase_mytable`.`mycolumn` LIKE BINARY %\%; DROP DATABASE mydatabase;%

ただし、これは私のデータベースを削除していないようです。何が起きてる？

python - Django Q オブジェクト (複雑なクエリ) は安全ですか?

1 に答える 1

Related

Reference