在python中是否可以形成一个字符串变量来逃避另一个的串联,并注入恶意代码? “y”代表管理员权限。
例如:
username = request.body.username //this is unsanitized
add("user." + username, "n", timestamp)
用户名将是:
'name", "y", timestamp)//'
所以生成的代码应该是这样的:add("user." + "name", "y", timestamp)//,"n",timestamp)
我尝试使用单引号和双引号,但似乎找不到任何东西。
除非您将该字符串放在
eval
或exec
中,否则没有必要从潜在的注入攻击中清除用户输入。还可以使用 "".join
连接字符串