try:
book = db.session.query(Books).\
filter_by(Books.title.like("%"+search_query+"%")).\
order_by(Books.id.desc())
Как бы одним запросов и одним объектов возвращать результат по like из Books.title и Books.author
через or или and
На будущее, если кто-то будет искать по чату (для регистронезависимого ilike): try: book = db.session.query(Books).\ filter(Books.title.like("%"+search_query+"%") | Books.author.like("%"+search_query+"%")).order_by(Books.id.desc())
Похоже на место для инъекций
можно и через это пройти
Попробуй sqlmap'ом, вот он творит чудеса
не-а :) скульмап творит чудеса в контексте time-based ну или самописных PHP сайтов. Но об этом можно в другом чатике порассуждать. P.S. Я как-то в одну крупную компанию как пентестер хотел пойти, мне дали задание, а там как раз бекенд на фласке с алхимией. Скуля там была, но скульмап вообще бессилен :) ПРи использовании ORM - нужно очень постараться чтобы получить скулю
Обсуждают сегодня