Несмотря на то, что данная проблема является не очевидной, решение для неё будет простым: никогда не доверяйте пользовательским данным и всегда экранируйте всё, что вы используете при конструировании SQL запроса.

Всё это Django делает на уровне API для работы с базой данных. Он автоматически экранирует все специальные SQL параметры, учитывая соглашение об использовании кавычек для используемого вами сервера баз данных (т.е., PostgreSQL или MySQL).

Например, в данном вызове API:

foo.get_list(bar__exact="' OR 1=1")

Django выполнит соответствующее экранирование и результирующий оператор будет выглядеть так:

SELECT * FROM foos WHERE bar = '\' OR 1=1'

т.е., очень безобидно.

Это поведение характерно для всего API с некоторыми исключениями:

В каждом из этих случаев, несложно защитить себя от ошибок. Надо просто использовать привязку переменных вместо конструирования запросов. Таким образом, предыдущий пример должен быть переписан так:

from django.db import connection

def user_contacts(request):
    user = request.GET['username']
    sql = "SELECT * FROM user_contacts WHERE username = %s;"
    cursor = connection.cursor()
    cursor.execute(sql, [user])
    # ... do something with the results

Низкоуровневый метод execute() принимает с SQL строку с символами подстановки (%s) и автоматически экранирует и подставляет параметры из списка, переданного вторым аргументом. Вы должны всегда конструировать свои SQL запросы таким способом.

К сожалению, вы не можете свободно использовать привязку переменных. Например, нельзя таким способом определять идентификаторы (т.е., имя таблицы или полей таблиц). Следовательно, если вам потребуется динамически создать список таблиц по, скажем, содержимому переменной POST, вам придётся экранировать их имена в своём коде. Django предоставляет функцию, django.db.backend.quote_name(), которая осуществляет экранирование идентификатора в соответствии с принятой схемой квотирования для текущей базы данных.