5
Flask、WTForms、およびOurSQL MySQLライブラリを使用しています。私はrequest.form変数から投稿データを受け取ります。私はそれをWTFormsフォームオブジェクトに入れました。そのフォームにvalidate()と呼んで、OurSQLを使用してフォームデータをMySQLデータベースに挿入します。Flaskで投稿データを受け取った場合、そのデータをWTFormsフォームに入れ、SQLインジェクション攻撃から安全かどうかを検証します。
追加の処理を行うことなく、SQLインジェクションから安全ですか? WTForms validateメソッドはエスケープしますか?そうでない場合は、データをエスケープするために何をすべきですか?私の知る限りでは、どちらもWTFormsやフラスコがSQLのデータをエスケープ
form = MyWTFFormsForm(request.form)
if form.validate():
cursor.execute("INSERT INTO mytable VALUES (?, ?, ?, ?, ?);",
(form.field1.data, form.field2.data, form.field3.data,
form.field4.data,
form.field5.data))