标签: sqlalchemy flask-sqlalchemy
简单的问题,但我只是想确定答案:使用Flask-SQLAlchemy,这是否安全(searchstring直接来自用户?)
results = MyClass.query.filter(MyClass.MyProperty.ilike('%{}%'.format(searchstring)))
答案 0 :(得分:1)
SQLAlchemy很好但是你应该尽可能地避免使用原始SQL。在你的情况下,它看起来不容易出现SQL注入,但我的2美分是尽可能避免原始SQl。
另请参阅:Is a SQLAlchemy query vulnerable to injection attacks?