保护好自己的开源项目敏感信息(以Django框架为例)

最新推荐文章于 2022-10-17 16:50:34 发布
最新推荐文章于 2022-10-17 16:50:34 发布
阅读量1k 收藏 3
点赞数 2
文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FlyChestnut/article/details/108561995
版权
本文讲述了在开源Django项目时如何保护设置文件`setting.py`中的敏感信息,如数据库密码、邮箱账号等,避免隐私泄露。作者建议创建一个`secret.py`模块存储敏感信息,并将其加入`.gitignore`,确保信息安全。
摘要由CSDN通过智能技术生成

前言:

如果你要在Github或Gitee等网站开源自己的项目时,一定要注意保管好隐私。当项目开源之后,就意味着每一个人都可以看到源码。而很多情况下,你的源码里很可能包含一些很重要的信息,比如数据库的密码,或邮箱的账号或密码等。一旦你泄露了这些信息,轻则个人隐私泄露,重则服务器被黑,数据库数据泄露,甚至你的其他账号密码(你的各类账号的密码会不会相同或者相似?)全部泄露,后果不堪设想!

这篇文章是我在收到GitGuardian的警告邮件后写下的,我被警告我的SMTP邮箱账号和django密钥暴露在源码中。我是用Python的Django框架做后端的,所以我就只讲Django,其他语言或框架的也可以参考一下。

Django的setting.py文件

用过Django框架的人都知道,Django的配置都是在setting.py文件中进行设置的。其中包括但不限于数据库的账号与密码,网站或开发者个人的邮箱账号和密码,还有Django项目的密钥等。

如果过把项目进行线上开源的话,别人只需要查看setting.py文件就可以很轻松的得到这些很重要的信息。而这些信息一旦泄露,后果不堪设想。

于是我想了一个保护setting.py文件中重要信息的办法。

保护方法

我的方法是,创建一个单独的secret.py模块。因为如果把setting.py文件直接写进 .gitignore文件里忽略&#x

最低0.47元/天 解锁文章
༺დ小浪人༻
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django 上传文件夹_Django配置用户上传文件夹和暴露后端文件夹资源
weixin_39831104的博客
12-19 197
网站所用的静态文件我们都默认存放到static文件夹下,而用户上传的文件也是静态资源,我们需要找一个公共的地方专门存储用户上传的静态文件。针对用户上传的不同文件,保存到指定的文件夹下。media配置专门用来指定用户上传的静态文件存放路径1、配置文件中书写以下代码# settings.pyMEDIA_ROOT = os.path.join(BASE_DIR, 'media') # 用户上传的文件就...
新机器学习库TensorFlow Privacy问世:旨在保护敏感数据
啊啊啊啊2
02-26 273
在最近的一篇博文中,TensorFlow宣布推出TensorFlow Privacy。这是一个开源库,它允许研究人员和开发人员构建具有强大隐私保护功能的机器学习模型。基于强大的数学确定性(mathematical guarantees),使用本库可以确保用户数据无法通过训练过程被记住。机器学习在如今的在线产品和服务中非常普遍。谷歌认为,为了保护用户隐私,把强大的隐私保护功能嵌入TensorFlow...
源码泄露?敏感信息如何避免硬编码!
Python之禅的专栏
05-24 1810
我们开发的每个系统都离不开配置信息,例如数据库密码、Redis密码、邮件配置、各种第三方配置信息,这些信息都非常敏感,一旦泄露出去后果非常严重,被泄露的原因一般是程序员将...
Cpython 编译django py文件为so保护源码
m0_59882674的博客
07-02 2234
​ 测试环境 ubuntu 16.04 Python3.8.3 Django2.2 主要可以在发布的项目中,保护关键代码。 1、安装cpython pip3 install cpython 2、在项目目录创建setup.py 编辑内容如下,其中“app/file1.py”是你所要打包的py文件名,这儿需要把app下所有的py文件都添加进来(当然也可以添加部分) from distutils.core import setup from Cython.Build import ...
Django项目SECRET_KEY等敏感信息保存
weixin_34360651的博客
02-25 754
在我们做完django项目后,向生产环境部署时,为了避免一些敏感信息被有心人利用,我们应该将其保护起来,比如说在settings配置中的一些密码等内容存在操作系统内,通过调用来使用,比如下面这种做法: 拿Django中的SECRET_KEY来说吧,其余如同数据库密码、邮箱密码等秘密内容都可以使用这种方式将其贮存在操作系统中。我使用的是python语言,这里要使用到python的os内置模块: ...
旅游网站:使用Django框架
03-04
对于支付和预订等涉及敏感信息的流程,Django的CSRF(跨站请求伪造)保护和SSL支持可以增强网站的安全性。 至于静态文件如CSS和JavaScript,Django提供了管理和服务于这些资源的机制。静态文件通常用于美化网站和...
python116基于混沌系统敏感文本信息加密算法研究(django).rar
最新发布
04-26
在本项目中,"python116基于混沌系统敏感文本信息加密算法研究(django)",开发者运用了Python编程语言和Django框架进行了一次深入的毕业设计,旨在探索混沌系统的特性来实现敏感文本信息的加密算法。Django是Python...
基于python+Django混沌系统敏感文本信息加密算法研究源码数据库.zip
08-31
"基于python+Django混沌系统敏感文本信息加密算法研究源码数据库"的项目正关注于此,它结合了Python编程语言、Django Web框架以及混沌系统理论来实现高效且安全的加密算法。以下是对该项目涉及的知识点的详细解释: ...
django-security:模型,视图,中间件和表单的集合,以帮助保护Django项目
05-04
Django安全性 该软件包提供了许多模型,视图,中间件和表单,以促进Django应用程序的安全性增强。 完整文件 可以在Read The Docs上获得django-security自动生成的文档: 要求 Python> = 3.6 的Django> = 1.11 对于Django <1.8,使用django-security == 0.9.4。 对于Django <1.11,请使用django-security == 0.11.3。 注意:对于0.10.0之前的版本, datetime对象已添加到会话中,并且需要Django的PickleSerializer进行(反序列化)。 现在已更改,因此将存储这些datetime的字符串。 如果由于这个原因您仍在使用PickleSerializer,我们建议您切换到Django的默认JSONSerializer(自Django 1.6以来
Django保护敏感信息的方法示例
09-19
主要介绍了Django保护敏感信息的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
基于python+Django混沌系统敏感文本信息加密算法研究源码数据库.docx
02-29
通过以上分析可以看出,基于Python和Django框架构建的敏感信息加密系统不仅能够有效地保护用户隐私,还具有较高的实用价值和研究意义。此外,结合混沌理论的加密算法为现有的信息安全领域带来了新的解决方案和技术...
python加密Django框架代码(通过修改Cpython解释器)
qq_42455809的博客
08-22 1589
django代码加密(通过修改Cpython)
django 代码加密_最详细Django教程_001
weixin_32596893的博客
12-20 1879
1.新建项目+运行服务+新建appC:\code_all\Django0913>django-admin startproject bysms # 新建项目C:\code_all\Django0913\bysms>python manage.py runserver 127.0.0.1:8001 # 运行服务C:\code_all\Django0913\bysms&gt...
Django开发web安全防护
weixin_30485799的博客
07-13 480
<1> sql注入攻击与防范   (1)、sql注入的危害     1、非法读取,篡改,删除数据库的中的数据;     2、盗取用户的各类敏感信息,获取利益;     3、通过修改数据库来修改网页上的内容;     4、注入木马等等; (2)、sql注入的防范    1、对于用户的输入进行合法性判断;     2、参数中加入sql语句拼接字符串使之为真;   ...
django 练习枚举 + 敏感违禁关键字过滤
Drizzlejj的博客
10-17 608
4、在子应用的目录下新建一个 python 包 templatetags 用于书写过滤器 mysecondfilter.py。6、在根目录下新建一个文件夹 templates 编写htmll 文件 message.html。2、创建一个子应用 index,并在 setting.py 中注册子应用。3、创建子应用的路由 urls.py,在根路由中引入子路由。5、新建一个违禁过滤词库 和枚举的类 consts.py。3、创建视图函数 views.py。
django项目规范目录结构及将敏感信息配置在环境变量中
奔跑的蜗牛的博客
08-28 453
settings配置文件区分环境 使用django-admin startproject创建的项目下只有一个settings.py配置文件,然而在规范开发中是将开发环境的配置文件和生产环境的配置文件区分开的,我建立的一个app01项目的目录如下: 将所有配置文件都放在叫做config的目录下,此时需要修改manage.py和wsgi.py文件(因为目录变了): manage.py如下修改: wsgi.py文件也要进行修改: 如果项目使用了websicket编程还需要将asgi.py文件进行修改。
防止核心代码泄露-项目代码保护(游戏服务器端)
常城的专栏
12-28 6082
重要的核心代码,是不希望被非核心成员,或者新招来的程序接触到的。否则,招个新程序,人家试用期没过,反倒把你代码拷走了,回头想攻击、破解、贩卖,都是分分钟的事儿。这种事儿,我已经见过不止一次了。本文就讲一下,如何去做代码保护。防止核心(底层)代码泄露。 代码保护的基本需求: 1,不影响被防范的成员(比如新程序员)工作。让其能正常运行、调试、查看日志等。 2,对核心代码完全封死,需要保护
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值