我没有在Django的表单代码中看到任何形式的输入清理w / r / t处理原始文本。 Django如何确保在进入数据库时清理用户输入?是否这样做是为了防止SQL注入等?
答案 0 :(得分:16)
数据库驱动程序会自动清理用户输入。
当您尝试汇编包含SQL命令以及您尝试包含的数据的单个字符串时,才需要显式用户输入清理;正确使用Python DBAPI可以完全分离命令和数据,只要您正确使用该功能,您作为程序员就不必担心SQL注入。 Django默认使用该功能,因此您不必担心它。
编辑:XSS是一个单独的问题;请参阅@ renab的评论以及https://docs.djangoproject.com/en/dev/topics/security/#cross-site-scripting-xss-protection