在 python 中转义用于命令注入的字符串?

问题描述 投票:0回答:1

在python中是否可以形成一个字符串变量来逃避另一个的串联,并注入恶意代码? “y”代表管理员权限。

例如:

username = request.body.username //this is unsanitized
add("user." + username, "n", timestamp)

用户名将是:

'name", "y", timestamp)//'
所以生成的代码应该是这样的:
add("user." + "name", "y", timestamp)//,"n",timestamp)

我尝试使用单引号和双引号,但似乎找不到任何东西。

python code-injection
1个回答
0
投票

除非您将该字符串放在

eval
exec
中,否则没有必要从潜在的注入攻击中清除用户输入。还可以使用 
"".join
连接字符串

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.