他们说通过使用 Django ORM，您已经可以免受大多数 SQL 注入(inject)攻击。但是，我想知道是否应该或可以使用任何其他措施来处理用户输入？有没有类似漂白剂的库？

最佳答案

使用 Django ORM 的主要危险在于，您可能会为用户提供一个强大的工具来选择、过滤和聚合任意字段。

确实，例如，假设您制作了一个表单，使用户能够选择要返回的字段，那么您可以将其实现为:

data = MyModel.objects.values(*request.GET<strong>.getlist('fields')</strong>)

如果MyModel有一个 ForeignKey给名为 owner 的用户模型, 然后用户可以用 owner__password 伪造一个请求作为字段，从而检索(散列)密码。而 Django 存储其默认值 User为散列密码建模，这仍然意味着散列数据已公开，因此可能更容易检索密码。

但即使没有用户模型，也可能导致用户可以在使用敏感数据链接的地方伪造请求，从而获取大量敏感数据。任意过滤、注释、聚合等也会发生同样的情况。

因此您应该做的是保留一个可接受值的列表，并检查请求是否仅包含这些值，例如:

acceptable = {'title', 'description', 'created_at'}
data = [field for field in request.GET.getlist('fields') <b>if field in acceptable</b>]
data = MyModel.objects.values(*data)

例如，如果您使用像 django-filter  ^{[readthedocs.io]} 这样的包您列出了可以过滤的字段以及可以对这些字段进行哪些查找。 request.GET中的其他数据将被忽略，因此将防止使用任意字段进行过滤。

关于python - 如果使用 native ORM，如何避免 Django Rest API 中的 SQL 注入(inject)攻击？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/69956620/