SQL-хакерские взломы и django

Question

Исходя из опыта работы с jsp и сервлетом, мне интересно узнать, как django справляется с хакерскими инъекциями SQL. Как разработчик сервлетов и jsp, я бы использовал подготовленные утверждения, которые дают мне некоторую форму защиты. Как django справляется с пользовательскими запросами, например с настраиваемым полем поиска.

Answer 1

Если вы используете наборы запросов, django автоматически экранирует ваши переменные.Если вы используете запросы RAW или что-то вроде метода .extra, вам нужно будет проявить особую осторожность и, например, использовать привязку параметров.Больше информации обо всем этом можно найти здесь (также очень хороший ресурс о других проблемах безопасности).