我正在接受一个GET查询参数,该参数将用作搜索字符串的一部分。
如果我有这个:
x = request.args['x']
MyTable.query.filter(MyTable.myCol.ilike(x)).one()
我是否容易受到SQL注入攻击?
编辑 - 我认为我正在使用Postgres和SQLAlchemy 1.0。
答案 0 :(得分:1)
根据https://stackoverflow.com/a/31949750/3359014,
MyTable.query.filter(MyTable.myCol.ilike(x)).one()
不被视为原始sql,基础db-api将转义为x。