sqlalchemy过滤器和SQL注入

时间:2015-09-14 21:10:32

标签: sqlalchemy

我正在接受一个GET查询参数,该参数将用作搜索字符串的一部分。

如果我有这个:

x = request.args['x']
MyTable.query.filter(MyTable.myCol.ilike(x)).one()

我是否容易受到SQL注入攻击?

编辑 - 我认为我正在使用Postgres和SQLAlchemy 1.0。

1 个答案:

答案 0 :(得分:1)

根据https://stackoverflow.com/a/31949750/3359014

MyTable.query.filter(MyTable.myCol.ilike(x)).one()不被视为原始sql,基础db-api将转义为x。