JP1235C¶

Проверка вызова django RawSQL¶

Использование функции RawSQL исключает защиту от инъекций внутри фреймворка django, и (в общем случае) не рекомендуется. Надлежащие проверки входных параметров должны проводиться разработчиком.

Пример небезопасного использования¶

1
2
3

from django.db.models.expressions import RawSQL

queryset.annotate(val=RawSQL(f'select col from sometable where othercol = "{param}"'))

Дополнительная информация¶

• https://cwe.mitre.org/data/definitions/89.html
• https://docs.djangoproject.com/en/dev/ref/models/expressions/#django.db.models.expressions.RawSQL