SQL-инъекции и django

Исходя из фона jsp и сервл, мне интересно узнать, как django справляется с SQL-инъекциями. Являясь сервлетом и разработчиком jsp, я бы использовал подготовленные заявления, которые дают мне некоторую форму защиты. Как django справляется с пользовательскими запросами, например пользовательское поле поиска.

Ответы

Ответ 1

Если вы используете запросы, django автоматически удалит ваши переменные. Если вы используете RAW-запросы или такие вещи, как метод .extra, вам придется проявлять особую осторожность и, например, использовать привязку параметров. Более подробную информацию обо всем этом можно найти здесь (также очень хороший ресурс о других проблемах безопасности).