raw_input自然是收集用户输入的安全方法吗?

时间:2014-10-29 00:18:48

标签: python

基本上,有人可以通过为raw_input输入代码来破坏我的程序吗?

i.e.
##instead of entering their name below, could they enter some compromising code?
name = raw_input('what is your name?: ')

1 个答案:

答案 0 :(得分:3)

raw_input在这一行的直接意义上是安全的:

name = raw_input('what is your name?: ')

本身不能触发代码注入。但在此之后,您可以打开其他漏洞,具体取决于您对字符串执行的操作。例如,如果您将其用于数据库查找,则仍需要单独防范SQL injection,通常使用parameterized queries