Python Web 应用如何解决安全问题？例如 XSS，注入之类的。

应该有相应的库吧。。
对应不同的使用环境
比如bleach是一个基于白名单的html过滤器
django flask对于表单都有csrf_token相关的东西
tornado没用过
数据库注入我倒是没怎关注过 我连sql都不会 全部交给django orm或者sqlalchemy了

请LZ仔细看文档，可以在文档内搜索csrf 相关内容

使用现成的framework
补充楼上的， tornado 里是 xsrf_cookies
SQL injection的话， 写SQL语句的时候只要不手动拼接string，而是使用现成的函数，就能避免了吧。

为什么要过滤？正确转义不就完了

主要还是看官方文档吧

@yakiang 这文章写得好挫啊，居然手动转义html entity，一句话就搞定的事
$('<div>').text('<a>').html()

@binux 之前没仔细看，刚看了一下，确实 →_→

flask说都封装好了，看文档就差不多

MarkupSafe 应该你想要的

@ericls
@ipconfiger
@davidli
@binux
@yakiang
@loading
@kingxsp

感谢各位，详细搜索了一下（文档讲的真不清楚），tornado.escape.xhtml_escape 函数可以进行 HTML 转义。

这是一个专门处理xss注入等安全问题的库，我在使用其Java版本的库，我发的连接是Python版本。

这个库还有专门的wiki来帮你分析可能遇到的安全问题。
https://www.owasp.org/index.php/Main_Page

1. 渲染时用Mako一类的模板库可以避免大部分情况下的XSS， 图片URL这种地方还得显式防范下XSS。
2. 不要拼接SQL字符串，用现成的SQL封装库。
3. 更多漏洞超出了python语言范围

使用框架的数据库模型的话，一般不会存在注入的问题吧？

用框架,都有安全中间件的.

用sqlalchemy基本不会存在注入的问题。。