Django如何形成清理文本输入以防止SQL注入,XSS等?

时间:2012-11-26 22:12:26

标签: python django xss sql-injection

我没有在Django的表单代码中看到任何形式的输入清理w / r / t处理原始文本。 Django如何确保在进入数据库时​​清理用户输入?是否这样做是为了防止SQL注入等?

1 个答案:

答案 0 :(得分:16)

数据库驱动程序会自动清理用户输入。

当您尝试汇编包含SQL命令以及您尝试包含的数据的单个字符串时,才需要显式用户输入清理;正确使用Python DBAPI可以完全分离命令和数据,只要您正确使用该功能,您作为程序员就不必担心SQL注入。 Django默认使用该功能,因此您不必担心它。

编辑:XSS是一个单独的问题;请参阅@ renab的评论以及https://docs.djangoproject.com/en/dev/topics/security/#cross-site-scripting-xss-protection