django安全小措施--如何禁用掉在模板中修改和删除数据库

最新推荐文章于 2024-03-22 16:10:14 发布
最新推荐文章于 2024-03-22 16:10:14 发布
阅读量153 收藏
点赞数
文章标签: python 数据库

看djangobook3.py3k.com的第四章,偶然发现django设计的方法调用过程中给了一个安全小措施。

举个简单的例子:你的一个 BankAccount 对象有一个 delete() 方法。在BankAccount的对象访问过程中,应该授予权限才能执行account的删除和修改操作。即不应该允许模板包含像 {{account.delete}} 这样的方法调用。要防止这样的事情发生,Django要求必须设置该方法的 alters_data 函数属性:

def  delete(self):
    # Delete the account
delete.alters_data = True

这样,模板系统不会执行任何以该方式进行标记的方法。也就是说,如果模板包含了 {{account.delete}} ,该标签不会调用 delete() 方法。它只会安静地失败(并不会引发异常)。

weixin_33874713
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
django 关闭mysql链接_如何在Django测试关闭数据库连接的方法?
weixin_31979781的博客
01-20 700
好吧,我不确定这是不是最好的答案,但由于这个问题到目前为止还没有回复,我将发布我最终用于后人的解决方案:我创建了一个辅助函数,在关闭连接之前检查我们当前是否处于原子块:import djangofrom django.db import connectionfrom my_app import modelsdef close_connection():"""Closes the connecti...
Django admin禁用编辑链接和添加删除操作详解
09-18
今天小编就为大家分享一篇Django admin禁用编辑链接和添加删除操作详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django admin禁用编辑链接和添加删除操作
Jason_WangYing的博客
08-21 1312
话不多,直接代码 List_display_links = None # 禁用编辑链接 def has_add_permission(self, request): # 禁用添加按钮 return False def has_delete_permission(self, request, obj=None): # 禁用删除按钮 return False def get_actions(self, requ
django-read-only:禁用Django数据库写入
04-18
django-read-only 禁用Django数据库写入。 要求 支持Python 3.6至3.9。 支持Django 2.2到3.2。 你的考试慢吗? 查看我的《一书,其涵盖了许多最佳实践,因此您可以编写更快,更准确的测试。 安装 用pip安装: python -m pip install django-read-only 然后添加到您已安装的应用程序: INSTALLED_APPS = [ ..., "django_read_only" , ... ] 用法 在您的设置文件,将DJANGO_READ_ONLY设置为True ,所有数据修改查询都将导致异常: $ DJANGO_READ_ONLY=1 python manage.py shell ... >>> User.objects.create_user(username="hack
django admin后台禁止删除超级管理员
最新发布
Mr_laoxu的博客
03-22 284
直接重写user模型admin的has_delete_permission方法。2.所有用户展示页勾选删除时候对querset进行过滤。删除原来的action的删除逻辑 重写数据的删除逻辑。1.超级管理员用户信息详情页隐藏删除按钮。action添加刚才重写的方法。
django-redis-sessions:用于将会话存储在Redis数据库Django的会话后端
02-05
**标题解析:** "Django-redis-sessions" 是一个...通过上述知识点,我们可以了解到django-redis-sessions如何将Django的会话管理与高性能的Redis数据库结合,以及在实际应用可能涉及到的配置、性能优化和运维问题。
django-scopes:在Django数据库安全地分隔多个租户
02-04
我们的许多人都使用Django构建多租户应用程序,每个用户只能访问我们应用程序一小部分单独的数据,同时具有某些全局功能,这使得每个客户端无法使用单独的数据库。 尽管Django出色地保护了我们免受构建SQL注入...
django-pyodbc-azure:使用pyodbc的Microsoft SQL Server和Azure SQL数据库Django后端
02-04
`django-pyodbc-azure`为PythonDjango框架提供了与Microsoft SQL Server和Azure SQL Database的连接能力,让开发者能够在保持Django的便利性的同时,利用这些强大的数据库系统。通过合理配置和优化,开发者可以在...
cookiecutter-django-vue:Cookiecutter Django Vue是Django-Vue项目的模板
02-04
Cookiecutter Django-Vue 由提供支持,受启发。 产品特点 服务器: 前端: + + 后端: 数据库: API:REST或GraphQL 可选集成 可以在初始项目设置期间启用这些功能。 与集成以进行本地电子邮件测试 与集成以...
Django提示消息messages的设置方式
09-18
今天小编就为大家分享一篇Django提示消息messages的设置方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
django 模版关闭转义
youbo_sun的专栏
08-06 1792
django 模版显示的html出现'类似的ascii字符,这是由于django对单引号进行了转义,可以通过关闭转义解决html处理异常问题。 关闭django转义的方法有如下两种:     1.关闭单个模版变量的转义:         利用"|safe" 过滤器告诉django这个变量不需要转义, 如模版:{{ data|sage }}      2.利用django模版标记
如何关闭Django模板的自动转义
南七小僧的学海无涯
09-30 1038
其实我是想输入带格式的信息的。因为爬下来的数据这样显示效果会比较好。 但是Django模板会对HTML标签和JS等语法标签进行自动转义,原因显而易见,这样是为了安全。但是有的时候我们可能不希望这些HTML元素被转义,比如我们做一个内容管理系统,后台添加的文章是经过修饰的,这些修饰可能是通过一个类似于FCKeditor编辑加注了HTML修饰符的文本,如果自动转义的话显示的就是保护HTML...
django数据模型关于on_delete的使用
热门推荐
水痕
01-01 5万+
一、外键的删除 关于on_delete的总结1、常见的使用方式(设置为null)class BookModel(models.Model): """ 书籍表 """ book_name = models.CharField(max_length=100, verbose_name='书名') # 表示外键关联到作者表,当作者表删除了该条数据,图书表删除
Django admin可以看详情 但是不允许修改
小谷同学
08-23 1581
Django admin可以看详情 但是不允许修改 不允许修改,不允许添加,不允许删除 class ReadOnlyAdminMixin: def has_add_permission(self, request): return False def has_change_permission(self, request, obj=None): return False def has_delete_permission(self, request
django自定义权限防止所有用户都能进行删除操作
huoyuanshen的博客
10-19 1722
场景一:对于删除操作等不希望所有登录用户都能删除,且不是使用django进行的数据控制,需要进行特殊控制 1,url文件: path('task-del.html', views.TaskDel.as_view(), name='task_del'), 2,views文件: class EcsDel(LoginRequiredMixin, PermissionRequiredMixin...
django后台禁止添加记录功能
chilly
06-05 874
class MyAdmin(admin.ModelAdmin): *def has_add_permission(self, request): return False*
phpcms后台在线编辑模板禁止含有{php标签编辑的解决方法
weixin_33894640的博客
08-20 382
1、开启后台在线编辑模板功能 找到caches\configs\system.php文件,找到'tpl_edit'=> 0, 系统默认是0,开启在线编辑模板功能只需把0改成1 2、phpcms禁止含有{php标签的编辑,修改两个文件 一个文件是phpcms/modules/template/file.php 将$code = str_replace(array('<?'...
Django自带的django-cities和django-countries 示例
06-07
以下是使用Django自带的django-cities和django-countries应用程序的示例: ...以上示例是使用Django自带的django-countries和django-cities应用程序的基本示例,您可以根据自己的需要进行修改和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值