使用current_user的SQL查詢不會過濾結果
[英]SQL query using current_user doesn't filter results
問題描述
以下查詢檢索數據庫中的每個保留,但是我只想獲取當前用戶所做的保留。 當我在mysql命令行中運行查詢時,它可以工作。 為什么這在我的應用程序中不起作用?
from flaskext.mysql import MySQL
from flask.ext.login import LoginManager
from flask_login import current_user
...
db = MySQL()
db.init_app(app)
...
cur = db.connect().cursor()
cur.execute("SELECT ReservationID FROM Reservation WHERE user_name=" + "'" + current_user + "';")
reservation_instance = cur.fetchall()
1 個解決方案
解決方案1
1 已采納 2015-10-07 17:47:55
current_user是一個User實例。 您不能只將它添加到字符串中,而是需要使用它的用戶名(假設您將其稱為“用戶名”屬性)。
您目前可以接受SQL注入攻擊。 切勿嘗試自己將參數插入查詢字符串。 始終使用參數化查詢,這使驅動程序可以正確地進行構建,引用和轉義查詢的工作。
cur.execute('SELECT ReservationID FROM Reservation WHERE user_name=?', [current_user.username])
占位符(在示例中使用? )取決於驅動程序。 考慮使用SQLAlchemy ,它可以規范這種事情並且功能更強大。 Flask-SQLAlchemy也使與Flask的集成變得更加容易。
這種使用 Flask-Login 中的 current_user 的方式安全嗎?
[英]is this way of using current_user from Flask-Login safe?
如何在Flask-Security的User.query.all()中重構current_user?
[英]How could you refactor current_user in User.query.all() in Flask-Security?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
在python字典中使用current_user變量?
這種使用 Flask-Login 中的 current_user 的方式安全嗎?
UndefinedError:'current_user'未定義
如何在Flask-Security的User.query.all()中重構current_user?
如果用戶匿名,則獲取current_user ['id']
燒瓶中的current_user更改值
如何在flask模板中模擬`current_user`?
如何為pytest設置current_user?
如果 current_user 已經在數據庫中,則驗證它
登錄正常,但current_user未通過身份驗證
相關標簽