Исходя из фона jsp и сервл, мне интересно узнать, как django справляется с SQL-инъекциями. Являясь сервлетом и разработчиком jsp, я бы использовал подготовленные заявления, которые дают мне некоторую форму защиты. Как django справляется с пользовательскими запросами, например пользовательское поле поиска.
SQL-инъекции и django
Ответ 1
Если вы используете запросы, django автоматически удалит ваши переменные. Если вы используете RAW-запросы или такие вещи, как метод .extra, вам придется проявлять особую осторожность и, например, использовать привязку параметров. Более подробную информацию обо всем этом можно найти здесь (также очень хороший ресурс о других проблемах безопасности).