Django Q对象(复杂查询)是否安全?

时间:2014-11-25 00:11:56

标签: python sql django security django-q

我似乎找不到任何资源来解释Django内置的复杂查询(Q对象或F对象)的安全性。是否可以在这些查询中注入SQL攻击?我做了一个小测试:

from models import *
from django.db.models import Q
q = MyModel.objects.filter(Q(mycolumn__contains='%; DROP DATABASE mydatabase;'))
print q
>>> []
print q.query
>>> SELECT `mydatabase_mytable`.`mycolumn` FROM `mydatabase_mytable` WHERE 
    `mydatabase_mytable`.`mycolumn` LIKE BINARY %\%; DROP DATABASE mydatabase;% 

但这似乎并未删除我的数据库。这里发生了什么?

1 个答案:

答案 0 :(得分:5)

从SQL中可以看出,Django正在逃避LIKE子句。 Here是对该案例中发生的事情的引用。

一般来说,Django确实可以保护您免受SQL注入攻击。 Here是他们的安全页面。请注意,您可能会因执行自定义SQL或不小心使用“额外”而遇到麻烦,否则您将受到保护。