![]() |
1
2
一个安全含义——可能是最大的:视图使您可以访问相同的 SQL Injection 如果您正在基于用户输入构建select语句,那么直接访问表的缺陷就存在。 这就是问题所在,而且只有在您将SQL语句基于输入的情况下。如果您的视图是静态的,并且从不根据输入进行筛选或排序,那么只需从视图中选择字段,那么对于返回相同结果而不带参数的存储过程,您就不安全了。 除此之外,在我看来,使用存储过程只是一个好习惯,在SQL Server中,您可以从存储过程中获得优化功能,但这与安全性无关。 |
![]() |
2
0
视图根本不能让您接受注入攻击。错误的代码可以做到这一点。即使使用连接的/内嵌的SQL存储过程,也不会有问题。 使用准备好的语句。你会没事的。视图比调试丑陋的存储过程容易100倍。 |
![]() |
Ben2pop · 正在检索要在查询中使用的ID,Django 7 年前 |
![]() |
Steve · Django视图,按用户向访问者显示对象 7 年前 |
|
Matt · 页面命中计数器-正在工作,但希望将其限制为每个IP地址 7 年前 |
![]() |
Shefali · Django UserCreationForm扩展 7 年前 |