标签: python python-3.x security string-formatting user-input
使用Python的format()函数格式化用户输入的任何字符串是否有风险,参数/值也来自用户输入? (例如ItemsSource="{Binding Path=PositionCollection}" )
ItemsSource="{Binding Path=PositionCollection}"
答案 0 :(得分:-1)
如果用户输入了Python vaid表达式,那么操作本身就没有风险,因为它不是eval。
eval
如果要将结果放在SQL数据库中,则应在构建SQL字符串之前考虑引用它。