1
ericls 2014-05-18 00:46:39 +08:00
应该有相应的库吧。。
对应不同的使用环境 比如bleach是一个基于白名单的html过滤器 django flask对于表单都有csrf_token相关的东西 tornado没用过 数据库注入我倒是没怎关注过 我连sql都不会 全部交给django orm或者sqlalchemy了 |
2
ipconfiger 2014-05-18 00:59:41 +08:00
请LZ仔细看文档,可以在文档内搜索csrf 相关内容
|
3
davidli 2014-05-18 01:01:00 +08:00
使用现成的framework
补充楼上的, tornado 里是 xsrf_cookies SQL injection的话, 写SQL语句的时候只要不手动拼接string,而是使用现成的函数,就能避免了吧。 |
4
binux 2014-05-18 01:02:42 +08:00
为什么要过滤?正确转义不就完了
|
5
yakiang 2014-05-18 01:04:50 +08:00
|
6
yakiang 2014-05-18 01:05:13 +08:00
主要还是看官方文档吧
|
7
binux 2014-05-18 01:13:49 +08:00 2
@yakiang 这文章写得好挫啊,居然手动转义html entity,一句话就搞定的事
$('<div>').text('<a>').html() |
9
loading 2014-05-18 09:58:19 +08:00 via Android
flask说都封装好了,看文档就差不多
|
10
kingxsp 2014-05-18 11:25:05 +08:00
MarkupSafe 应该你想要的
|
11
ss098 OP |
12
davepkxxx 2014-05-18 14:24:28 +08:00
|
13
davepkxxx 2014-05-18 14:25:32 +08:00
这是一个专门处理xss注入等安全问题的库,我在使用其Java版本的库,我发的连接是Python版本。
|
14
davepkxxx 2014-05-18 14:26:57 +08:00
这个库还有专门的wiki来帮你分析可能遇到的安全问题。
https://www.owasp.org/index.php/Main_Page |
15
mckelvin 2014-05-18 16:27:12 +08:00 via Android
1. 渲染时用Mako一类的模板库可以避免大部分情况下的XSS, 图片URL这种地方还得显式防范下XSS。
2. 不要拼接SQL字符串,用现成的SQL封装库。 3. 更多漏洞超出了python语言范围 |
16
wizardoz 2014-05-19 11:23:56 +08:00 1
使用框架的数据库模型的话,一般不会存在注入的问题吧?
|
17
ChanneW 2014-05-19 18:48:27 +08:00
用框架,都有安全中间件的.
|
18
zjnjxufe 2014-07-16 17:04:56 +08:00 1
用sqlalchemy基本不会存在注入的问题。。
|