Devo sfuggire ai numeri in Django?

2

Devo sfuggire ai numeri in django per prevenire gli attacchi XSS? I numeri sono memorizzati in db e di tipo "decimale, float, ...". Devo sfuggire questi valori o è inutile prevenire gli attacchi XSS?

    
posta maazza 31.05.2013 - 09:16
fonte

1 risposta

4

Non sono sicuro di come potresti eseguire XSS basandosi esclusivamente su valori numerici. Tuttavia, un buon approccio è quello di sfuggire sempre alle variabili di input e controllarle per tipo. Ad esempio, se un utente è tenuto a inserire un numero, potrebbe anche inserire una stringa che potrebbe causare un'eccezione nel programma. Questo è qualcosa che devi tenere in considerazione. Nota che la validazione lato client è inutile (quindi il controllo con JavaScript o un elenco a discesa con solo numeri non ti aiuterà a eseguire la convalida dell'input sicuro).

Quindi in Python puoi fare:

   try:
       float(variable)
       "do database logic"
   except:
       print "not valid."
    
risposta data 31.05.2013 - 09:24
fonte

Leggi altre domande sui tag