day91 orm查询以及xss安全攻击

最新推荐文章于 2021-11-03 11:58:27 发布
最新推荐文章于 2021-11-03 11:58:27 发布
阅读量414 收藏
点赞数
文章标签: 数据库 python 开发工具
原文链接:http://www.cnblogs.com/lucky75/p/11355410.html
版权

目录

重学正则

静态执行命令

pycharm创的表,用native删了,pycharm就不会再创建了,除非再用native去建

ORM(后续)

数据准备:

# models.py
class UserType(models.Model):
    title = models.CharField(max_length=32, null=True)


class Users(models.Model):
    name = models.CharField(max_length=32, null=True)
    age = models.CharField(max_length=32, null=True)
    ut = models.ForeignKey('UserType', null=True, related_name='users')
# related_name:相当于起别名,在反向查询时使用


# views.py
from app01 import models

def test(request):
    res = models.UserType.objects.all()
    for obj in res:
        # 普通的反向查询
        # print(obj.users_set.values('name'))
        # 加了releate_name后的
        print(obj.user_info.values('name'))
    return HttpResponse('ok')
# 注意:加了之后,就不能使用之前的小写表名_set的方式了

数据操作

# views.py
# 添加多条数据
def test(request):
    info = [
        models.Users(name='a', age='20', ut_id=1),
        models.Users(name='b', age='255', ut_id=2),
        models.Users(name='c', age='10', ut_id=3),
        models.Users(name='d', age='19', ut_id=1),
        models.Users(name='e', age='17', ut_id=2),
    ]
    res = models.Users.objects.bulk_create(info)
    print(res)  # [<Users: Users object>, <Users: Users object>, <Users: Users object>, <Users: Users object>, <Users: Users object>]
    return HttpResponse('ok')

orm查询大全

# views.py
# query:查看代码对应的sql原生语句,目前发现只有查询可以用
def test(request):
    # 1, 字段名过滤
    res = models.Users.objects.filter(name='leijun') # where name = 'leijun'
    res = models.Users.objects.filter(id__gt=3) # id大于3
    res = models.Users.objects.filter(id__gte=3) # id大于等于3
    res = models.Users.objects.filter(id__lt=3) # 小于3
    res = models.Users.objects.filter(id__lte=3) # 小于等于3
    res = models.Users.objects.exclude(id=3) # 不等于3
    res = models.Users.objects.filter(id=2, name='leijun') # where id = 2 and name = 'leijun';
    
    # 2. in   not in 
    res = models.Users.objects.filter(id__in=[2, 4, 5]) # in
    res = models.Users.objects.exclude(id__in=[2, 4, 5]) # not in
    
    # 3. between...and   两头都能取,闭区间
    res = models.Users.objects.filter(id__range=[3, 5])
    
    # 4. like 模糊查询
    # g: global(全局)   i: ignore(忽略大小写)
    res = models.Users.objects.filter(name__startswith='le')    # 匹配开头
    res = models.Users.objects.filter(name__istartswith='Le')   # 忽略大小写
    
    res = models.Users.objects.filter(name__endswith="d")   # 匹配结尾
    res = models.Users.objects.filter(name__iendswith="D")  # 忽略大小写
    
    res = models.Users.objects.filter(name__regex="^zekai$")    # 正则表达式
    
    # 5. count  # 暂不清楚是以什么字段查询的,应该是id
    res = models.Users.objects.filter(id__gt=3).count()
    
    # 6. order by 
    # 默认为升序(asc) 在前面加'-'为降序(desc)
    res = models.Users.objects.all().order_by('-id','age')  # 先按id降序,再按age升序
    
    # 7. group by
    from django.db.models import Count, Min, Max, Sum
    res = models.UserInfo.objects.values("name").annotate(s=Sum('age')) # 这里的s相当于取别名,后面用sum('age')的时候需要用s,不写就是age__sum
    #返回的是一个列表套字典
    
    # 8. having:这里筛选要注意类型,如果是字符串,那么比较的规则会较为复杂,参考之前的数据库博客
    # filter写前面是where,写后面就是having
        res = models.Users.objects.values("name").annotate(s=Sum('age')).filter(s__gte=30)
    print(res, res.query)
    
    # 9. limit: 和原生sql不同,不是一个起始位置一个个数,这里是使用切片的方式,顾头不顾尾
    res = models.Users.objects.all()[1:4]   # 查询索引1-3的,注意是索引
    
    # 10. or
    # 要使用Q
    from django.db.models import Q
    res = models.Users.objects.filter(Q(id__gt=3) | Q(name='leijun')) # where id > 3 or name = 'leijun'
    # or and 联用
    res = models.Users.objects.filter(Q(Q(id__gt=3) | Q(name='leijun')) & Q(age__lt=23))  # where (id > 3 or name = 'leijun') and 'age' < 23;
    
    # 11. only | defer
    # only:只取出这几列
    # defer:不取出这几列
    res = models.Users.objects.only('name')
    print(res, res.query)
    for i in res:
        print(i.__dict__)
        print(i.age)
        
    res = models.Users.objects.defer('id', 'age', 'name')
    print(res, res.query)
    for i in res:
        print(i.__dict__)
        print(i.age)
    # 这两个东西很怪,首先他们都会取出id,only不填id也会取出id,defer填了id也照样取id,
    # 这两个返回的都是QuerySet套对象,对象的__dict__结构是这样的
    # only:{'_state': <django.db.models.base.ModelState object at 0x000002F139EB7CF8>, 'id': 1, 'name': 'haha'}
    # defer:{'_state': <django.db.models.base.ModelState object at 0x000002F139EB7860>, 'id': 5, 'ut_id': 1}
    # 但是问题是,他们都可以点出age来,所以少用这两个东西
    
    # 12. F:将原来的值循环拿到,然后操作
    from django.db.models import F
    models.Users.objects.update(age=F('age') + 1)   # age = 之前的age + 1
    
    # 13.原生sql 类似pymysql
    from django.db import connection, connections
    cursor = connection.cursor()  
    # cursor = connections['default'].cursor()  # 这个可以修改数据库,里面的default就是在settings中设置的数据库名
    cursor.execute("""SELECT * from app01_users where id = %s""", [1])
    row = cursor.fetchone()
    print(row)
    
    # 14.distinct
    # distinct里面不用填参数,按照values里进行去重,values里面有多个值,则是多个值同时重复才会取出
    # 填参数会报错NotImplementedError: DISTINCT ON fields is not supported by this database backend
    res = models.Users.objects.values('age', 'name').distinct()
    print(res, res.query)
    
    # 返回的大都是一个queryset列表包着被查到的对象,除了中间使用了values的
    return HttpResponse('ok')

安全攻击

xss

  • 跨站脚本攻击(通过js代码)

原因:

  • 服务器过于相信客户端提交过来的信息,并没有进行限制
# 举例:
'''
    用户在提交数据时,提交js代码,例如<script>alert('111')</script>
    而服务器没有进行处理,直接进行解析,那么就会弹窗
    用户也可以通过js代码,获取cookie,之类的信息,造成损失
'''
# 解决方案
'''
    django自动帮我们解决了这个问题,会接收,但不会解析,而是转义成纯文本
    例如博客园的评论功能就是这样的
'''
# 非要接收
'''
    如果不需要django自动处理接收的信息,则可以在html接收数据时,后面加上 | safe
    例如:
        {{ info | safe}}
        这样django就不会进行处理了
'''

转载于:https://www.cnblogs.com/lucky75/p/11355410.html

weixin_30258901
关注
Laravel Eloquent ORM 多条件查询的例子
10-16
Laravel框架是一款基于PHP的开源Web应用框架,使用了MVC架构模式,其...Laravel Eloquent ORM的多条件查询功能强大而灵活,通过阅读和理解上述文档内容,我们可以更加高效地利用这一功能,构建出高效且安全的Web应用。
springmvc4配置防止XSS攻击的方法
04-05
特别是在Web应用中,跨站脚本攻击XSS)和SQL注入攻击是常见的安全威胁。XSS攻击是指攻击者通过在网页中嵌入恶意脚本代码,当其他用户浏览该网页时,恶意代码会执行,导致用户信息泄露、网站内容篡改等问题。而SQL...
Day62(ORM,XSS攻击)
aise9337的博客
07-21 151
1. ORM 1.1 对表的基本查 # 单表的查 # 1、查询所有 res = Class.objects.all() # QuerySet对象,(列表套对象) print(res) # <QuerySet [<Class: Class object>, <Class: Class object>, <...
flask项目之ORM(2)
汪云辉的博客
04-11 185
目录1 作用2 使用ORM的方式选择2.1 先创建模型类,再迁移到数据库中2.2 先用原生SQL创建数据库表,再编写模型类作映射 1 作用 省去自己拼写SQL,保证SQL语法的正确性 一次编写可以适配多个数据库 防止注入攻击数据库表名或字段名发生变化时,只需修改模型类的映射,无需修改数据库操作的代码 (相比SQL的话,可能需要同步修改涉及到的每一个SQL语句) 2 使用ORM的方式...
Grove——.NET中的ORM实现
weixin_30563319的博客
07-27 267
Grove——.NET中的ORM实现 发布日期: 6/30/2005 | 更新日期: 6/30/2005 作者:林学鹏 ORM的全称是Object Relational Mapping,即对象关系映射。它的实质就是将关系数据(库)中的业务数据用对象的形式表示出来,并通过面向对象(Object-Oriented)的方式将这些对象组织起来,实现系统业务逻辑的过程。在ORM过程中最重...
python一张图浓缩_python浓缩(21)
weixin_39892481的博客
12-10 193
数据库Python RDBMSs, ORMs, and PythonPython 数据库应用程序程序员接口(DB-API)关系数据库 (RDBMSs)对象-关系管理器(ORMs)关系模块本章的主题是如何通过Python 访问数据库。21.1 介绍21.1.1 持久存储在任何的应用程序中,都需要持久存储。一般说来,有三种基本的存储机制:文件、关系型数据库或其它的一些变种,例如现有系统的API,...
Android 快速开发系列之数据库篇(LiteOrm
wxx614817的专栏
10-28 963
Android 快速开发系列之数据库篇(LiteOrm) 继上一篇GreenDao后,本文将带领大家学习下基于注解的orm框架:LiteOrm,注意不是Ormlite,作者是马天宇,不是那个歌手哦,现在在阿里巴巴任职。好了闲话不多扯了。 LiteOrm是一个小巧、强大、比系统自带数据库操作性能快1倍的 android ORM 框架类库,开发者一行代码实现数据库的增删改查操作,以
开发代码安全规范-防SQL注入和XSS跨站攻击代码编写规范.pdf
07-14
【开发代码安全规范-防SQL注入和XSS跨站攻击】是针对互联网应用程序开发中的重要安全问题,旨在提升开发人员的安全编程意识,防止恶意攻击对系统和数据的破坏。SQL注入和XSS跨站脚本攻击是两种常见的网络安全威胁。 ...
谈一谈ORM安全1
08-04
在本文中,我们将深入探讨ORM安全性,特别是针对Laravel框架中的Eloquent ORM。 首先,ORM简化了SQL的编写,但同时也可能带来安全风险,主要是因为SQL注入问题。当ORM生成动态SQL时,如果没有正确处理用户输入,...
91django_基本使用
weixin_34332905的博客
05-15 377
目录django. 1django-admin startproject. 3django-admin startapp. 5model:... 7view中使用model:... 10template. 11view中使用template:... 13去掉url和static硬编码:... 15url反解析:... 15url命名空间:... 15form处理:... 1...
对象关系映射(ORM)简单看懂
爱吃冰淇凌的羊驼
06-26 3373
什么是对象关系映射? 简单点说,如果我们用的是面向对象的编程语言,数据库使用的数据库是关系型数据库,那么将面向对象的语言和面向关系型的数据库之间建立一种映射关系,这就是对象关系映射。 对象关系映射有什么好处? 它赋予我们一个强大的功能,就是可以用面向对象的思维来操作数据库,不用再和SQL语句打交道了。
ORM(对象关系映射)
嘻哈王大头
03-01 5280
一、作用 用于实现面向对象编程语言里不同类型系统的数据之间的转换,换言之,就是用面向对象的方式去操作数据库的创建表以及增删改查等操作 二、优缺点 优点: 1.ORM使得我们的通用数据库交互变得简单易行,而且完全不用考虑该死的SQL语句。快速开发,由此而来。 2.可以避免一些新手程序猿写sql语句带来的性能问题。 缺点: 1.性能有所牺牲,不过现在的各种ORM框架都在尝试各种方法,比如缓存,延迟加载...
ORM--------Hibernate、Mybatis与Spring Data的区别
AndyLizh的专栏
04-14 1421
##1.概念: Hibernate :Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。着力点对象与对象之间关系 Mybatis:MyBatis 本是apache的一个开源项目iBatis, 2010年这个项目由apache software foundation 迁移到了goog
ORM入门
Howie66的博客
08-09 1168
  关系型数据库和实体间做映射,操作对象的属性和方法,跳过SQL语句 对象关系映射(英语:Object Relational Mapping,简称ORM,或O/RM,或O/R mapping),用于实现面向对象编程语言里不同类型系统的数据之间的转换。其实是创建了一个可在编程语言里使用的"虚拟对象数据库"。Object是可以继承的,是可以使用接口的,而Relation没有这个概念。   ...
91monitor安装
atzqtzq的博客
07-01 704
开源版91Monitor-安装教程 91 Monitor 示例站点:www.91monitor.com (不安装的情况下,无法使用管理员账号登录,只能注册后使用) 91 monitor是一款专门为监控服务器状态的PHP开源系统。 特点概述:支持监听各种服务器端口,以及web站点 , 并且支持终端控制 环境 PHP版本5.5.9以上(扩展:OpenSSL PHP Extension,PDO P...
ORM是什么,ORM的优缺点
徐代龙的技术专栏
11-22 9777
ORM的介绍 ORM的全称是:Object Relational Mapping (对象 关系 映射) 简单的说,orm是通过使用描述对象和数据之间映射的元数据,将程序中的对象自动持久化到关系数据库中。 ORM需要解决的问题是,能否把对象的数据直接保存到数据库中,又能否直接从数据库中拿到一个对象?要想做到上面两点,则必须要有映射关系。 ORM的优缺点 优点: orm的技术特点,提高了开发效...
无恒实验室联合GORM推出安全好用的ORM框架-GEN
字节跳动技术团队官方博客
11-03 3825
背景数据库操作是大多数程序员必不可少的工作, GORM 作为一个拥有 25k star 的项目已经是 Go 语言操作关系型数据库的首选。由于 GORM 中提供了很多 interface{}...
SQL数据库安全
数据库天地
08-22 647
许多Windows系统管理员,还兼职着微软SQL Server数据库管理员(DBA)的身份。另一方面,企业将许多机密的信息存储到了SQL Server数据库中。作为一名DBA新手,则需要了解SQL Server的安全模式和如何配置其安全设置,以保证“合法”用户的访问并阻止“非法”访问。而在SQL Server中登陆、用户、角色、权限提供了对数据库访问的权限,接下来在数据库安全性上着重分析它们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值