JP1233C¶

Проверка вызова django extra¶

Использование функции extra исключает защиту от инъекций внутри фреймворка django, и (в общем случае) не рекомендуется. Надлежащие проверки входных параметров должны проводиться разработчиком.

Пример небезопасного использования¶

1

qs.extra(select={"val": f'select col from sometable where othercol = "{param}"'})

Дополнительная информация¶

• https://cwe.mitre.org/data/definitions/89.html
• https://docs.djangoproject.com/en/dev/ref/models/querysets/#django.db.models.query.QuerySet.extra