[英]If I receive post data with Flask, put that data into a WTForms form and it successfully validates, is it safe from SQL injection attacks?
我正在为我的应用程序使用Flask,WTForms和OurSQL MySQL库。 我从request.form变量接收post数据。 我把它放到WTForms表单对象中。 我在该表单上调用validate() ,然后使用OurSQL将表单数据插入MySQL数据库。
没有做任何额外的处理,我是否可以安全地从SQL注入? WTForms validate方法是否可以逃脱? 如果没有,我该怎么做才能逃避数据? 我正在做的一个例子如下:
form = MyWTFFormsForm(request.form)
if form.validate():
cursor.execute("INSERT INTO mytable VALUES (?, ?, ?, ?, ?);",
(form.field1.data, form.field2.data, form.field3.data,
form.field4.data,
form.field5.data))
据我所知,WTForms和Flask都没有逃脱SQL的数据,但使用像你这样的占位符消除了转义的需要。
表单验证和SQL是单独的问题。 表单验证的工作是确保数据有意义。 SQL代码的工作是安全地存储数据。 SQL注入攻击基本上是对SQL相关代码的攻击。 你提供的代码片段,使用cursor.execute和? 占位符,在将数据发送到SQL之前会进行适当的引用,因此不可能进行SQL注入。
使用psycopg2使用数据库中的数据填充烧瓶中的表单(wtforms)
[英]Populate form (wtforms) in flask with data from database using psycopg2
Flask WTForms - 在提交到不同的路由时检索表单数据,即与呈现表单的 GET 路由不同的 POST 路由
[英]Flask WTForms - Retrieve form data when submitting to a different route, i.e. a different POST route than the GET route which renders the form
使用WTForms进行表单验证,并使用Flask中的表单数据自动填充SQLAlchemy模型
[英]Form validation with WTForms and and autofill SQLAlchemy model with form data in Flask
如何使用现有数据为“编辑个人资料”路线预先填写 Flask WTForms 表格?
[英]How do I pre-fill a Flask WTForms Form with existing data for an "Edit Profile" route?
Python flask WTForms自定义验证-无法从表单获取数据,为“无”
[英]Python flask WTForms custom validation - cant get data from form, is None
从多个形式/相同形式的数组传递数据flask wtforms python
[英]Passing data from multiple forms/ Array of same form flask wtforms python
如何在使用 Flask 和 WTForms 保留表单数据的同时重定向?
[英]How to redirect while keeping form data using Flask and WTForms?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.