1
ユーザーがPythonのformat()関数で入力した文字列をフォーマットするのは危険でしょうか?引数/値もユーザー入力から来ますか? (user_input_string.format(*user_input_args))pythonの形式でユーザー入力を許可していますか?
A
答えて
-1
操作自体は危険ではありません。ユーザーがPythonのベット式を入力した場合、それはevalではありません。
結果がSQLデータベースに書き込まれる場合は、SQL文字列を作成する前に引用を検討する必要があります。
+0
この回答は真実ではなく、潜在的に危険です。 [ここ](https://stackoverflow.com/questions/15356649/can-pythons-string-format-be-made-safe-for-untrusted-format-strings)を参照してください。 –
+0
ああ、私は 'user_input_string'に気付かず、フォーマットテンプレートは私の心の中でハードコードされていました。とにかく、通常、テンプレート文字列はエンドユーザーによって提供されることは想定されていません。 – glenfant
関連する問題
- 1. ShieldUI NumericTextBoxでヨーロッパ形式の入力を許可する
- 2. 特定の形式(Python 3.5)でユーザー入力を取得する
- 3. 出力ボックスにユーザー入力を文字列形式で出力します
- 4. 形式の入力フィールドの可変数
- 5. Androidは矩形の片側からの入力のみを許可します
- 6. プッシャーは非ASCII(JSON)形式のトランスポートペイロードを許可していますか?
- 7. ユーザーからの入力時間(分)を入力し、hh:mm:ss形式のカウントダウンを開始します。
- 8. JButtons - 入力を許可しない
- 9. WPF datepickerでユーザー入力の日付形式を指定します。
- 10. 入力値のプリセットとユーザーの変更を許可する
- 11. Djangoでは2つの形式でタイムエントリを許可しますか?
- 12. UITableViewCellでの入力を許可する
- 13. Pythonでカスタム形式の入力行を分割する方法
- 14. エッジ入力形式から頂点入力形式へのグラフデータの変換
- 15. Pythonの入力として三角形を入力する
- 16. Malletの正しいsvmlight入力形式は何ですか?
- 17. 日付をHTML形式で入力しますか?
- 18. PHPタイマーは2秒ごとにユーザー入力のみを許可します
- 19. ユーザー入力後にバッチファイルを使用してアクセス許可を設定する
- 20. JavaScriptで入力ファイル形式を記入
- 21. jQueryトークン入力でカスタム入力が許可されていません
- 22. JOptionPaneでユーザーから複数の入力を許可する方法
- 23. 正規表現の入力が許可されています
- 24. 特定の形式(行列)で入力してください
- 25. ログインしていないユーザーのアクセス許可をシミュレートします
- 26. Python形式の出力ファイル
- 27. 入力フィールドに24形式時間のユーザー入力を制限する方法はありますか?
- 28. 入力形式のバリデーション
- 29. ヒートマップのデータ入力形式
- 30. Java Dateformat - 入力を特定の形式と比較し、一致する形式に基づいて入力を解析できますか?たとえば
Define * risky * ... – Mangohero1
@JeremyMcGibbonありがとう、検索時にこれを見つけられませんでした。 – Diagamma