Я использую Flask, WTForms и библиотеку MySQL OurSQL для своего приложения. Я получаю почтовые данные из переменной request.form
. Я поместил это в объект формы WTForms. Я вызываю validate ()
в этой форме, а затем вставляю данные формы в базу данных MySQL с помощью OurSQL.
Могу ли я избежать SQL-инъекции без дополнительной обработки? Проверяет ли WTForms метод
экранированием? Если нет, что мне делать, чтобы избежать данных? Пример того, что я делаю, выглядит так:
form = MyWTFFormsForm(request.form)
if form.validate():
cursor.execute("INSERT INTO mytable VALUES (?, ?, ?, ?, ?);",
(form.field1.data, form.field2.data, form.field3.data,
form.field4.data,
form.field5.data))