Python+Django+SAE系列教程14-----使表单更安全
还记得我们上一章提到过的加入页面吗?
watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaGVtZW5nMTk4MA==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">
加入完以后我们注意一下地址栏:
表单里的数据赤裸裸的显示在了地址栏中,这时候假设我们改动一下内容
刷新,这样数据库里面就会又加入了一条数据,也就是说用户假设知道表单的结果页的连接,就能够不通过我们的表单。随意加入数据了,这样当然不是我们想要的结果。
这种结果是由于我们在表单中使用了get的方式来传递数据,这时我们应该想到採用post的方法,post比get更加安全,我们来改动一下模板页面,注意这里:
以下是表单模板Classroom_Add.html的代码:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN">
<html>
<head>
<title>数据库操作简单表的加入</title>
</head>
<body>
<h1>这里是Classroom的加入页面</h1>
{% if error %}
<p style="color: red;">请输入班级名称和导师姓名</p>
{% endif %}
<form action="" method="post">
{% csrf_token %}
<table border="1" cellpadding="10">
<tr>
<td align="center">项目</td>
<td align="center">内容</td>
</tr>
<tr>
<td align="right">班级名称:</td>
<td><input type="text" name="name"></td>
</tr>
<tr>
<td align="right">导师姓名:</td>
<td><input type="text" name="tutor"></td>
</tr>
<tr>
<td colspan="2"><input type="submit" value="加入"></td>
</tr>
</table>
</form> </body>
</html>
把get方法改动为post后,我们当然也要改动一下视图,之前的get方法是这种:
def ClassroonAdd(request):
if 'name' in request.GET and request.GET['name'] and 'tutor' in request.GET and request.GET['tutor']:
name = request.GET['name']
tutor = request.GET['tutor']
c = ClassRoom(name=name,tutor=tutor)
c.save()
return render_to_response('person/Classroom_Add_results.html',
{'name': name})
else:
return render_to_response('person/Classroom_Add.html', {'error': True})
改动以后的pose方法是这种 :
def ClassroonAdd(request):
if request.POST.has_key('name') and request.POST.has_key('tutor') :
name = request.POST['name']
tutor = request.POST['tutor']
c = ClassRoom(name=name,tutor=tutor)
c.save() return render_to_response('person/Classroom_Add_results.html',
{'name': name},context_instance=RequestContext(request))
else:
return render_to_response('person/Classroom_Add.html', {'error': True},context_instance=RequestContext(request))
这时候我们在来測试一下:
地址栏里面的參数不见了!
我们在前一节讲的样例中另一个表单:就是改动页面。我们使用同样的方法来进行改动。改造Classroom_Modify.html模板:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN">
<html>
<head>
<title>数据库操作简单表的改动</title>
</head>
<body>
<h1>这里是Classroom--{{name}}的改动页面</h1>
{% if error %}
<p style="color: red;">请输入班级名称和导师姓名</p>
{% endif %}
<form action="" method="post">
{% csrf_token %}
<table border="1" cellpadding="10">
<tr>
<td align="center">项目</td>
<td align="center">内容</td>
</tr>
<tr>
<td align="right">班级名称:</td>
<td><input type="text" name="name" value="{{name}}"></td>
</tr>
<tr>
<td align="right">导师姓名:</td>
<td><input type="text" name="tutor" value="{{tutor}}"></td>
</tr>
<tr>
<td colspan="2">
<input type="hidden" name="id" value="{{id}}">
<input type="submit" value="改动">
<input type="button" value="返回" onClick="location.href='../../list'">
</td>
</tr>
</table>
</form>
</body>
</html>
改动视图页面:
def ClassroonModify(request,id1):
cursor=connection.cursor()
Classroon=ClassRoom.objects.get(id=id1)
old_name = Classroon.name
old_tutor = Classroon.tutor
cursor.close() if request.POST.has_key('name') and request.POST.has_key('tutor') :
new_name = request.POST['name']
new_tutor = request.POST['tutor']
Classroon.name=new_name
Classroon.tutor=new_tutor
Classroon.save()
return render_to_response('person/Classroom_Modify_results.html',
{'old_name': old_name,'old_tutor':old_tutor,'new_name':new_name,'new_tutor':new_tutor},context_instance=RequestContext(request))
else:
return render_to_response('person/Classroom_Modify.html', {'error': True,'id':id1,'name':old_name,'tutor':old_tutor},context_instance=RequestContext(request))
完毕。这样我们就把曾经的get方法改动成了post,在一定程度上保证了表单的安全。
以下的问题就是直接訪问改动页面或者删除页面呢,如这样:
watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaGVtZW5nMTk4MA==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">
直接在浏览当中输入地址,就能够删除和打开改动页面了。这样太危急了。全部这就要用到我们在11章 的样例http://blog.csdn.net/hemeng1980/article/details/25239713中的GetHTTP_REFERER了。只是须要注意的是一下情况:
一、可以取到HTTP_REFERER的情况为下面几种:
1.直接用<a href>
2.用Submit或<input type=image>提交的表单(POST or GET)
3.使用Jscript提交的表单(POST or GET)
二、不能取到的情况有下面几种:
1.从收藏夹链接
2.单击”主页”或者自己定义的地址
3.利用Jscript的location.href or location.replace()
4.在浏览器直接输入地址
5.<%Response.Redirect%>
6.<%Response.AddHeader%>或<meta http-equiv=refresh>转向
7.用XML载入地址
而我就犯了不能取到的第三种错误。所以我们要吧原来的button改动成为连接(A标签)。改动Classroom_List.html:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN">
<html>
<head>
<title>数据库操作简单表的加入</title>
</head>
<body>
<h1>这里是Classroom的管理页面</h1>
<table border="1" cellpadding="10">
<tr>
<td align="center">序号</td>
<td align="center">班级名称</td>
<td align="center">导师姓名</td>
<td align="center">操作</td>
</tr>
{% for myclass in ClassroonList%}
<tr>
<td align="right">{{ myclass.id }}</td>
<td align="right">{{ myclass.name }}</td>
<td align="right">{{ myclass.tutor }}</td>
<td align="right">
<a href="../modify/{{ myclass.id }}">改动</a>
<a href="../delete/{{ myclass.id }}">删除</a> </td>
</tr>
{% endfor %}
</table>
</body>
</html>
接下来我们改动一下视图:
def ClassroonModify(request,id1):
GetHost=request.get_host()
try:
GetHTTP_REFERER = request.META['HTTP_REFERER']
except KeyError:
GetHTTP_REFERER = 'unknown'
if GetHTTP_REFERER!='unknown' and GetHTTP_REFERER.find(GetHost)>0:
cursor=connection.cursor()
Classroon=ClassRoom.objects.get(id=id1)
old_name = Classroon.name
old_tutor = Classroon.tutor
cursor.close()
if request.POST.has_key('name') and request.POST.has_key('tutor') :
new_name = request.POST['name']
new_tutor = request.POST['tutor']
Classroon.name=new_name
Classroon.tutor=new_tutor
Classroon.save()
return render_to_response('person/Classroom_Modify_results.html',
{'old_name': old_name,'old_tutor':old_tutor,'new_name':new_name,'new_tutor':new_tutor},context_instance=RequestContext(request))
else:
return render_to_response('person/Classroom_Modify.html', {'error': True,'id':id1,'name':old_name,'tutor':old_tutor},context_instance=RequestContext(request))
else:
return render_to_response('person/Error.html')
不要忘了加入一个Error.html':
<html>
<head>
<title>查询用户结果页</title>
</head>
<body>
<table border="1" cellpadding="5"><tr>
<td>非法操作</td></tr>
<tr>
<td><a href="http://127.0.0.1:8000/ClassRoom/list/">点击返回</a></td>
</tr>
</table>
</body>
</html>
依照相同的方法改动一下删除功能:
def ClassroonDelete(request,id1):
GetHost=request.get_host()
try:
GetHTTP_REFERER = request.META['HTTP_REFERER']
except KeyError:
GetHTTP_REFERER = 'unknown'
if GetHTTP_REFERER!='unknown' and GetHTTP_REFERER.find(GetHost)>0:
cursor=connection.cursor()
Classroon=ClassRoom.objects.get(id=id1)
old_name = Classroon.name
Classroon.delete()
ClassroonList=ClassRoom.objects.all()
cursor.close()
return render_to_response('person/Classroom_Delete_results.html',{'name':old_name})
else:
return render_to_response('person/Error.html')
我们做一下測试假设这时候直接输入网址:http://127.0.0.1:8000/ClassRoom/modify/48/
就会看到:
这样我们有保护了删除和改动页面的安全性。
最后另一个问题,假设加入后怎样防止刷新表单,这个功能眼下我们还没有解说到Session。先留一个伏笔把,假设对session了解的人,能够先參考这个试试 :
http://www.cnblogs.com/ken-zhang/archive/2010/12/25/1916437.html
以后我们会具体讨论这个问题的。
Python+Django+SAE系列教程14-----使表单更安全的更多相关文章
- Python+Django+SAE系列教程17-----authauth (认证与授权)系统1
通过session,我们能够在多次浏览器请求中保持数据,接下来的部分就是用session来处理用户登录了. 当然,不能仅凭用户的一面之词,我们就相信,所以我们须要认证. 当然了,Django 也提供了 ...
- Python+Django+SAE系列教程11-----request/pose/get/表单
表单request,post,get 首先我们来看看Request对象,在这个对象中包括了一些实用的信息,学过B/S开发的人来说这并不陌生,我们来看看在Django中是怎样实现的: 属性/方法 说明 ...
- Python+Django+SAE系列教程13-----MySQL记录的添\删\改
建立了数据库后,我们就来做一个简单的表(person_classroom)的加入.删除.改动的操作. 首先我们建立一个加入的页面的模板Classroom_Add.html(加入的表单)并把它放在Bid ...
- Python+Django+SAE系列教程15-----输出非HTML内容(图片/PDF)
一个Django视图函数 必须 接受一个HttpRequest 实例作为它的第一个參数 返回一个HttpResponse 实例 从一个视图返回一个非HTML 内容的关键是在构造一个 HttpRespo ...
- Python+Django+SAE系列教程16-----cookie&session
本章我们来解说cookie和session ,这两个东西相信大家一定不陌生,概念就不多讲了,我们直接来看其使用方法,首先是cookie,我们在view中加入三个视图,一个是显示cookie的,一个是设 ...
- Python+Django+SAE系列教程12-----配置MySQL数据库
由于SAE上支持的是Mysql,首先我们要在本地配置一个Mysql的环境 ,我在网上找到MySQL-python-1.2.4b4.win32-py2.7.exe,并双击 安装 选择典型安装 安装结束后 ...
- Python+Django+SAE系列教程9-----Django的视图和URL
第三.四.五章介绍的就是Django中MVC的视图.模板.模型了. 首先来看视图(view),在用Django生成的站点目录中,创建一个view.py文件,这个文件開始是空的.然后我们输入下面内容: ...
- Python+Django+SAE系列教程10-----Django模板
在本章中,我们开始模板,在前面的章节,您可能已经注意到,我们回到文本的方式有点特别的示例视图. 那.HTML直接在硬编码 Python 其中代码. 这的确是一个小BT. def current_dat ...
- Python+Django+SAE系列教程6-----本地配置Django
前五章.我们介绍了Python的语法,本章開始介绍Django. Python的Web框架有非常多,有Django.web2py.tornado.web.py等.我们这里选 则Django.至于这些框 ...
随机推荐
- UF访问,一些对用友最新的旗舰级产品U9一些引进(图像)
昨天,北京用友公司的本地UF马平之和几个同事总和.并且e创客网站访问者创始人江.双方进行了友好的交流.首先,我们公司的历史.销售.或产品介绍. 然后.用友分公司的总水平介绍了用友的情况下,,马总介绍了 ...
- POJ 3304 Segments(计算几何)
意甲冠军:给出的一些段的.问:能否找到一条直线,通过所有的行 思维:假设一条直线的存在,所以必须有该过两点的线,然后列举两点,然后推断是否存在与所有的行的交点可以是 代码: #include < ...
- PHP - 点击更换头像
原理: 操作流程: 首先点击头像图片,弹出选择窗口,选中其中一个则窗口推出头像更换. 效果: 主页面代码: <tr> <td>头像:</td> <td> ...
- c语言,volatile
一.意义: 该关键字的意义就是表示定义的变量值随时都会改变,必须从变量的地址处读取值,所以只有这个变量在使用过程中可能被改变(比如中断程序),就需要用这个关键字说明. )volatile, ...
- 解决外网与内网或内网之间的通信,NAT穿透
在网络编码中会发现程序在局域网中是可以适用的,但是在外网与内网之间和内网与内网之间就不可行.问题就在于NAT.首先介绍下NAT. NAT的作用NAT(Network Address Translato ...
- Android数字签名解析(三)
在刚才開始学习android数字签名的相关知识点的时候,被资料中出现的keystore.x509.密钥对.debug.keystore弄的晕头 转向.经过一段时间的了解,总算明确一些. 一.make_ ...
- Storm流计算之项目篇(Storm+Kafka+HBase+Highcharts+JQuery,含3个完整实际项目)
1.1.课程的背景 Storm是什么? 为什么学习Storm? Storm是Twitter开源的分布式实时大数据处理框架,被业界称为实时版Hadoop. 随着越来越多的场景对Hadoop的MapRed ...
- Boost下载安装编译配置使用指南(含Windows和Linux
理论上,本文适用于boost的各个版本,尤其是最新版本1.45.0:适用于各种C++编译器,如VC6.0(部分库不支持),VS2003,VS2005,VS2008,gcc,C++ Builder等.先 ...
- 【Cloud Foundry】Could Foundry学习(二)——核心组件分析
在阅读的过程中有不论什么问题,欢迎一起交流 邮箱:1494713801@qq.com QQ:1494713801 Cloud Foundry核心组件架构图例如以下: 主要组件: Clou ...
- 临界段CCriticalSection的使用
类CCriticalSection的对象表示一个“临界区”,它是一个用于同步的对象,同一时刻仅仅同意一个线程存取资源或代码区.临界区在控制一次仅仅有一个线程改动数据或其他的控制资源时很实用.比如,在链 ...