0
Я принимаю параметр запроса GET, который будет использоваться как часть строки поиска.sqlalchemy filters и sql injection
Если у меня есть это:
x = request.args['x']
MyTable.query.filter(MyTable.myCol.ilike(x)).one()
Am I уязвимый к инъекции SQL атаки?
EDIT - я использую Postgres и SQLAlchemy 1.0, я думаю.
Какую версию SQLAlchemy вы используете? И с какой базой данных? –
Возможный дубликат [SQLAlchemy + SQL Injection] (http://stackoverflow.com/questions/6501583/sqlalchemy-sql-injection) –
Это не дубликат IMO. Принятый ответ может быть ошибочным в том, что он цитирует неавторитетный источник. Этот вопрос касается не только фильтра(). –