您的位置:首页 > 数据库

django安全小措施--如何禁用掉在模板中修改和删除数据库

2012-06-05 15:13 471 查看
看djangobook3.py3k.com的第四章,偶然发现django设计的方法调用过程中给了一个安全小措施。

举个简单的例子:你的一个 BankAccount 对象有一个 delete() 方法。在BankAccount的对象访问过程中,应该授予权限才能执行account的删除和修改操作。即不应该允许模板包含像 {{account.delete}} 这样的方法调用。要防止这样的事情发生,Django要求必须设置该方法的 alters_data 函数属性:

def  delete(self):
# Delete the account
delete.alters_data = True


这样,模板系统不会执行任何以该方式进行标记的方法。也就是说,如果模板包含了 {{account.delete}} ,该标签不会调用 delete() 方法。它只会安静地失败(并不会引发异常)。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: