Flask 8(数据安全)

最新推荐文章于 2024-07-31 14:40:39 发布
最新推荐文章于 2024-07-31 14:40:39 发布
阅读量728 收藏 3
点赞数
分类专栏: python系列
@BeanInJ
本文链接:https://blog.csdn.net/a__int__/article/details/104553986
版权

Flask 数据安全

1、哈希加密用户密码

以用户注册登录为例

1.1、建立模型

模型
在这里插入图片描述

class User(db.Model):
    id = db.Column(db.Integer, primary_key=True, autoincrement=True)
    u_name = db.Column(db.String(16), unique=True)
    u_password = db.Column(db.String(256))

迁移

python manage.py db migrate
python manage.py db upgrade

1.2、新建注册登录html

注册
在这里插入图片描述

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>用户注册页面</title>
</head>
<body>
<form action="{{ url_for('blue.user_register') }}" method="post">
    <span>用户名</span><input type="text" name="username" placeholder="请输入用户名">
    <br>
    <span>密码</span><input type="password" name="password" placeholder="请输入密码">
    <br>
    <button>注册</button>
</form>
</body>
</html>

登录

在这里插入图片描述

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>用户注册页面</title>
</head>
<body>
<form action="{{ url_for('blue.user_login') }}" method="post">
    <span>用户名</span><input type="text" name="username" placeholder="请输入用户名">
    <br>
    <span>密码</span><input type="password" name="password" placeholder="请输入密码">
    <br>
    <button>登录</button>
</form>
</body>
</html>

1.3、路由

在这里插入图片描述

@blue.route('/user/register/', methods=["GET", "POST"])
def user_register():
    if request.method == "GET":
        return render_template('UserRegister.html')
    elif request.method == "POST":
        username = request.form.get("username")
        password = request.form.get("password")
        # 哈希加密用户密码
        # from werkzeug.security import generate_password_hash
        hash_pwd = generate_password_hash(password)
        user = User()
        user.u_name = username
        user.u_password = hash_pwd
        db.session.add(user)
        db.session.commit()
        return redirect(url_for('blue.user_login'))
        # return '注册成功'


@blue.route('/user/login/', methods=["GET", "POST"])
def user_login():
    if request.method == "GET":
        return render_template('UserLogin.html')
    elif request.method == "POST":
        username = request.form.get("username")
        password = request.form.get("password")
        user = User.query.filter(User.u_name.__eq__(username)).first()
        # 验证密码
        if user and check_password_hash(user.u_password, password):
            return "登录成功"
        return '登录失败'

1.4、运行并访问

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
查看数据库
在这里插入图片描述

2、改进

把密码验证封装到模型中
在这里插入图片描述

class User(db.Model):
    id = db.Column(db.Integer, primary_key=True, autoincrement=True)
    u_name = db.Column(db.String(16), unique=True)
    _u_password = db.Column(db.String(256))

    # python3中的property有一个很有意思的功能,它能将类中的方法像类属性一样调用!
    # 它只能有self参数
    # 那么如果想访问属性可以通过属性的getter(访问器)和setter(修改器)方法进行对应的操作.

    # 将密码变成私有方法
    @property
    def u_password(self):
        raise Exception("密码不可访问")

    # 每次调用u_password自动加密_u_password后赋值
    @u_password.setter
    def u_password(self, v):
        self._u_password = generate_password_hash(v)

    # 验证密码时调用
    def check_password(self, password):
        return check_password_hash(self._u_password, password)

修改视图
在这里插入图片描述

@blue.route('/user/register/', methods=["GET", "POST"])
def user_register():
    if request.method == "GET":
        return render_template('UserRegister.html')
    elif request.method == "POST":
        username = request.form.get("username")
        password = request.form.get("password")

        user = User()
        user.u_name = username
        # 这里调用u_password就自动加密了
        user.u_password = password
        db.session.add(user)
        db.session.commit()
        return redirect(url_for('blue.user_login'))
        # return '注册成功'


@blue.route('/user/login/', methods=["GET", "POST"])
def user_login():
    if request.method == "GET":
        return render_template('UserLogin.html')
    elif request.method == "POST":
        username = request.form.get("username")
        password = request.form.get("password")
        user = User.query.filter(User.u_name.__eq__(username)).first()
        # 验证密码
        if user and user.check_password(password):
            return "登录成功"
        return '登录失败'

迁移

python manage.py db migrate
python manage.py db upgrade

删除数据库user表里原本的内容
在这里插入图片描述
运行并访问
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3、登录错误信息传递

在对应的路由里写入flash(“ ”)
在这里插入图片描述
flash需要添加SECRET_KEY,在setting里面添加SECRET_KEY =“ ”,赋值越复杂越好
在这里插入图片描述
传递到html里

在这里插入图片描述

{% for foo in get_flashed_messages() %}
<span>{{ foo }}</span>
{% endfor %}

运行并访问:写错登录密码就会提示
在这里插入图片描述

BeanInJ
关注
专栏目录
SELinux架构和Flask安全体系结构的一些认识
虫写的专栏
10-30 4292
首先,总的说来:整个安全性体系结构称为Flask,在 Flask 体系结构中,安全性策略的逻辑和通用接口一起封装在与操作系统独立的组件中,通用接口是用于获得安全性策略决策的。这个单独的组件称为安全性服务器,即使它只是个内核子系统而已。该服务器的 SELinux 实现定义了一种混合的安全性策略,由类型实施 (TE)、基于角色的访问控制 (RBAC) 和可选的多级别安全性 (MLS) 组成,所以广泛用
Flask(python web框架)安全
热门推荐
Love&Share
03-04 1万+
Flask 作为一个 WEB 框架来说内部封装的安全性的措施很多,基本解决了常见的 web 漏洞,下面介绍 Flask 是如何来避免产生 常见的 web 漏洞。 SQL注入: Flask 使用 ORM 对象关系映射的数据库管理方式,同时 Flask 框架内部也封装了许多安全性的函数,对于 SQL 注入拥有一定防护力,如图 Flask 中单引号会自动进行转义 XSS: Flask 使用 Jinja2 模板引擎,Jinja 会默认将渲染变量进行 HTML 实体转义 @user_bp.route('/test2
关于flask线程安全的简单研究
weixin_30731305的博客
07-15 233
  flask是python web开发比较主流的框架之一,也是我在工作中使用的主要开发框架。一直对其是如何保证线程安全的问题比较好奇,所以简单的探究了一番,由于只是简单查看了源码,并未深入细致研究,因此以下内容仅为个人理解,不保证正确性。   首先是很多文章都说flask会为每一个request启动一个线程,每个request都在单独线程中处理,因此保证了线程安全。于是就做了一个简单的测试。首...
Flask_8
AKATheIronHead的博客
01-18 285
自定义验证器 WTForms中的验证器指的是在定义字段时传入validatiors参数列表的可调用对象。 行内验证器 以下代码中定义的validate_answer方法对answer进行验证,如果标签内填入的不是66,抛出异常‘Must be 66!’。 class AnotherForm(FlaskForm): answer = IntegerField('The Number...
Python Flask-Security- 构建安全而强大的Web应用
xnxqwzy的博客
04-18 843
Flask-Security旨在简化Web应用的安全性管理,涵盖了用户认证、角色管理、密码重置等多个方面。通过Flask-Security,可以轻松实现强大的用户身份验证和授权管理。Flask-Security是构建安全而强大的Web应用的理想选择,为开发者提供了全面的安全解决方案。通过介绍其核心功能、基本用法和高级特性,本文想要帮助大家更深入地了解和应用这一强大的Flask扩展。在基本用法中,分享了如何配置和使用Flask-Security来实现用户认证、角色管理等基本功能。
杰理内部flash储存数据
05-09
杰理内部Flash储存数据是针对特定硬件平台,如杰理芯片的一种数据存储解决方案。这种解决方案主要涉及两种存储方法,适用于不同大小和类型的存储需求。以下是这两种方法的详细说明: 1. 内部VM(Virtual Memory)...
关于STM32的flash读写数据和HardFault_Handler的问题
08-11
在STM32的开发过程中,常常需要对Flash进行读写操作来存储关键数据,例如在系统断电前保存配置信息,以便后续启动时恢复。然而,Flash的读写操作需要遵循特定的步骤和注意事项,否则可能会导致程序错误甚至硬件损坏...
飞思卡尔Kinetis系列Flash烧写数据需要注意的问题
08-28
总的来说,使用飞思卡尔Kinetis系列的Flash存储数据时,需要充分理解其工作原理,合理规划存储区域,避免写入冲突,并采取适当的措施确保数据的安全性和系统的稳定性。在软件开发过程中,应当编写适配的驱动程序和...
NAND Flash Data Recovery Cookbook (Flash数据恢复教材)
05-05
《NAND Flash Data Recovery Cookbook》是一本专注于Flash数据恢复的专业教材,由My Data Recovery Lab(美国)、Data Solutions d.o.o.(塞尔维亚)和Advanced Data Recovery Analytics(美国)合作研发。...
Flash数据丢失
05-24
在分析STM32在干扰环境下Flash数据丢失的问题时,我们首先需要了解STM32的Flash存储器的工作原理及其在硬件设计上的防护措施。STM32是STMicroelectronics(意法半导体)生产的一系列32位ARM Cortex-M微控制器。Flash...
flask-security:Flask应用程序的快速简单安全性
02-23
笔记 该项目不再维护。 考虑将项目作为替代方案。 烧瓶安全 它可以快速向Flask应用程序添加安全功能。 资源
flask-praetorian:Flask API的强大,简单而精确的安全性(使用jwt)
05-14
烧瓶-普雷托里亚人 Flask API的强大,简单而精确的安全性 API安全性应像罗马军团一样强大,简单且精确。 该软件包旨在提供这一点。 使用实现的令牌, flask_praetorian使用非常简单的界面来确保为访问您API端点的用户提供了正确的访问角色。 该项目受到严重影响,但旨在仅提供基本功能。 flask-praetorian不会尝试预期所有用户的需求,而是提供一种简单而安全的机制来专门为API提供安全性。 此功能为API提供了一种包括电池在内的安全性方法。 对于基于Flask的API的基本安全性考虑, 应该提供所需的一切。 flask-praetorian软件包可用于: 用于存储在数据库中的哈希密码 根据散列的存储版本验证纯文本密码 验证密码后生成授权令牌 检查对安全端点的请求以获取授权令牌 供应令牌到期和刷新令牌的机制 确保与令牌关联的用户具有访问所需的角色 解析请求
python 网络安全_【网络安全】Python Flask XSS 防范
weixin_39601194的博客
12-09 514
0x01前言学习Django没多久,我发现微服务用Flask写非常简便~~在此之前,我并没有对 Flask 的安全问题有太多想法。直到有一天,我尝试对部署在公司的 Flask 网站进行渗透测试,我发现,它没那么安全。网站是我写的~哈!0x02构造攻击数据我尝试在外网进行了一次恶意请求,发现防火墙能够成功识别并拦截它。实际上这是在我意料之中,这么直白的攻击手段如果不能拦截说明防火墙该...
flask入门教程(19) - 安全注意事项
pynickle的博客
08-25 771
安全注意事项 网站是容易被攻击的,所以我们要做好准备,我们主要介绍两种方式: XSS(跨站脚本攻击) 跨站脚本攻击是指在一个网站的环境中注入恶任意的HTML和js。为了防止这一攻击,我们要转义HTML。 在 Flask 中,除非显式指明不转义, Jinja2 会自动转义所有值。这样可以排除所 有模板导致的 XSS 问题,但是其它地方仍需小心: 不使用 Jinja2 生成 HTML 。 在用户提交...
探索Python代码质量的守护神:Flake8
最新发布
AIGC搞起
07-31 680
Flake8是一个Python代码检查工具,它集成了pyflakes(检查语法错误和代码风格问题),mccabe(检查复杂度)和pep8(检查代码风格)的功能。它提供了一个统一的接口来检查Python代码中的各种问题。Flake8是一个强大的工具,它帮助开发者维护代码质量,确保代码的清晰和一致性。通过本文的介绍,你应该已经了解了Flake8的安装、基本使用、场景应用以及常见问题的解决方法。将Flake8集成到你的开发流程中,让它成为你代码质量的守护神。
Python网络编程 11.1 Flask框架Web应用程序及安全性分析
MustangJy的博客
02-08 1928
前面我们已经知道,HTTP协议是一种通用机制。客户端使用HTTP向服务器请求文档,而服务器通过HTTP向客户端提供文档。 然而,HTTP——超文本传输协议的”超文本“如何体现? 其实HTTP的设计初衷并非只是将其作为一种用于传输文件的新方法,也不是将其作为旧式文件传输协议(如FTP)的一个更复杂的提供缓存功能的替代品。当然HTTP能够传输书籍、图片以及视频这些独立的文件,但是尽管如此,HTTP
flake8,一个让你的Python代码更漂亮的库
u010098702的博客
05-22 849
flake8,为Python的漂亮代码而生!
FlaskFlask实现密码存储安全性的两种方式
widiot的博客
10-28 4614
密码安全性互联网上的大多用户都会在不同的网站使用相同的密码,如果某个网站把密码以明文方式存储在数据库里,又不幸地被攻击者获取了数据库的访问权限,那后果不堪设想(比如号称中国最大IT社区的某DN脱裤门事件,搞得我要单独记一个密码)要想保护用户的密码,就不能明文存储密码,也不能用可从密文恢复原文的加密方式。那就要使用哈希算法的单向加密方法对密码进行加密。单向加密意味着数据被加密之后,就不可能通过密文反向
Flash 8 ActionScript 学习指南
"Flash 8 ActionScript 是一种脚本语言,用于在Adobe Flash Player环境中创建交互式内容。这个学习资源涵盖了使用Flash Lite 1.x版本的ActionScript编程基础,包括对象、函数、事件处理和动画控制等内容。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值