django應對sql注入攻擊的方法:
1.使用django自帶的數據庫API,它會根據數據庫的轉換規則,自動轉義特殊的SQL參數。
2.在cursor.execute()的sql語句中使用“%s”,而不要在sql內直接添加參數,例如:
from django.db import connection
def user_contacts(request):
user = request.GET['username']
sql = "SELECT * FROM user_contacts WHERE username = %s"
cursor = connection.cursor()
cursor.execute(sql, [user])
# ... do something with the results
