2
クッキー値、ルート内の可変部分、クエリ引数などのデータは、安全でないものとして扱われ、特定の方法で処理されるべきですか? Flaskはすでに入力データをエスケープしているので、関数test(input_data)に渡すのは安全ですか?リクエストデータは既にFlaskによってサニタイズされていますか?
A
答えて
3
Flaskは、生のHTTPリクエストから解析するだけでなく、データを要求することもありません。任意の関数が持つ制約を知る方法がありません。制約をチェックするのはあなた次第です。すべてのデータはデフォルトで文字列になります。 evalまたはexecは使用しないでください。 SQLインジェクションを避けるには、データベースドライバのパラメータ化されたクエリを使用します。 Jinjaでテンプレートをレンダリングすると、デフォルトでHTMLで使用するためにデータがエスケープされます。
関連する問題
- 1. 'Folder'は既に 'Folder'によってロックされています
- 2. エラーが返されていますが、リクエストデータは正常に返されます。
- 3. ヘッダーはPHPによって既に送信されています。エラー:|
- 4. DMARCによって既に拒否されたスパムメールについてどうすればよいですか?
- 5. 入力タグはHTMLで「サニタイズ」されていますか?
- 6. Flask-Adminのフィールドは、ログインしているユーザーによって隠れていますか?
- 7. fopen()はファイルシステムによって制限されていますか?
- 8. スレッドはスレッドプールによって管理されていますか?
- 9. wx.comboboxはsizerによって管理されていますか?
- 10. web.configはIISによって保護されていますか?
- 11. C#はGCによって破棄されていない既存のオブジェクトを再利用しますか?
- 12. System.ArgumentException: '値'プロパティが 'Point'によって既に登録されている
- 13. シェルスクリプトによって作成されたファイルは、pythonによって開かれていませんか?
- 14. 名前はすでに既存のオブジェクトによって使用されています
- 15. RubyMineは、なぜbundlerによって既にインストールされている宝石をインストールするのですか?
- 16. ファイアウォールによってPATCHメソッドがブロックされていますか?
- 17. GridSplitterはWinForm要素によって隠されています
- 18. CSSプロパティは要素によってサポートされています
- 19. セッションはdjango-all authによってリセットされています
- 20. Android:アンドロイドエミュレータは既にルーツになっていますか
- 21. NSDictionaryのobjectForKey/valueForKeyは既にフォーマットされていますか?
- 22. チェックボックスは既にチェックされていますが、テキストボックスは有効になっていません
- 23. アンドロイドマーケットアプリはすべてのAndroid端末に既にインストールされていますか
- 24. pythonサイトマニュアルはpydocによって完全に生成されていますか?
- 25. Flaskにノードによって送信されたJSONデータが表示されない
- 26. 再インストールされた理由FilebeatがElasticsearchに既にロードされていることを知っています
- 27. このDataGridViewは、まだUserPreferenceChangedEventHandlerによって参照されていますか?
- 28. Flaskでは、request.argsとは何ですか?どのように使用されていますか?
- 29. Shiro:セッションは既に無効にされています
- 30. セレクタは既に先に指定されています
これは、コード実行を引き起こす可能性のあるコード(バイトコードまたはsthとして渡されたコード)があるかどうかわからないため、unicode/intが十分であれば、 intが必要です(ルール "Do not trust user input")。 「安全」とは、適切にエスケープ/サニタイズされているため、さらなる処理で安全です。 – LAdas
これはサニタイズされていませんが、通常は問題ではありません。渡されたものには「exec」を使用しないでください。また、raw SQL文では、入力のタイプと同じものを使用してください。 –
この質問に具体的に答えても意味がありません。無限にあります。 – davidism