来自用户的数据(如cookie值,路径中的可变部分,查询参数)是否应被视为不安全并以特定方式处理? Flask是否已经清理了转义输入数据,因此将其传递给函数test(input_data)是安全的吗?
答案 0 :(得分:4)
除了从原始HTTP请求解析数据之外,Flask不会请求数据。它无法知道任意函数的约束条件。由您来检查任何约束。默认情况下,所有数据都是字符串。请勿使用eval或exec。使用数据库驱动程序的参数化查询来避免SQL注入。如果使用Jinja渲染模板,默认情况下它将转义数据以便在HTML中使用。