我试图找到一种方法来使用sqlalchemy的engine.execute级解决方案进行sql注入,但我发现这是可能的,通过ORM风格。我们如何使用引擎级API来实现呢?
engine.execute
gab6jxml1#
你可以在sqlalchemy.sql.expression.text中使用绑定参数来避免SQL注入。当然,使用sql/core层来构建查询也应该可以,即session.execute(select(my_table).where(id=some_id))。
1条答案
按热度按时间gab6jxml1#
你可以在sqlalchemy.sql.expression.text中使用绑定参数来避免SQL注入。当然,使用sql/core层来构建查询也应该可以,即session.execute(select(my_table).where(id=some_id))。