基本上,有人可以通过为raw_input输入代码来破坏我的程序吗?
i.e.
##instead of entering their name below, could they enter some compromising code?
name = raw_input('what is your name?: ')
答案 0 :(得分:3)
raw_input
在这一行的直接意义上是安全的:
name = raw_input('what is your name?: ')
本身不能触发代码注入。但在此之后,您可以打开其他漏洞,具体取决于您对字符串执行的操作。例如,如果您将其用于数据库查找,则仍需要单独防范SQL injection,通常使用parameterized queries。