Flask從入門到入土(三)——Web表單

　　Flask-WTF擴展可以把處理Web表單的過程變成一種愉悅的體驗。這個擴展對獨立的WTForms包進行了包裝，方便集成到Flask程序中。

　　Flask-WTF及其依賴可使用pip安裝：

 pip install flask-wtf

　　跨站請求僞造保護

　　默認情況下，Flask-WTF能保護所有表單免受跨站請求僞造的攻擊。惡意網站把請求發送到被攻擊者已登錄的其他網站時就會引發CSRF攻擊。

　　爲了實現CSRF保護，Flask-WTF需要程序設置一個密匙。Flask-WTF使用這個密匙生成加密令牌，再用令牌驗證請求中表單數據的真僞。設置密匙的方法如下：

 app = Flask(__name__)
 app.config['SECRET_KEY'] = 'hard to guess string'

　　app.config字典可以用來存儲框架、擴展和程序本身的配置變量。使用標準的字典句發就能把配置值添加到app.config對象中。這個對象還提供了一些方法，可以從文件或環境中導入配置值。

　　SECRET_KEY配置變臉是通用密匙，可在Flask和多個第三方擴展中使用，如其名，加密強度取決與變量值的機密程度。不同的程序要使用不同的密匙，而且要保證其他人不知道你所用的字符串。

　　爲了增強安全性，密匙不應該直接寫入代碼，而要保存在環境變量中。

　　表單類

　　使用Flask-WTB時，每個WEB表單都由一個繼承自Form的類表示。這個類定義表單中的一組字段，每個字段都用對象表示。字段對象可附屬一個或多個驗證函數。驗證函數用來驗證用戶提交的輸入值是否符合要求。

 from flask.ext.wtf import  Form
 from wtforms import StringField,SubmitField
 from wtforms.validators import Required

 class NameForm(Form):
     name = StringField('what is your name?',validators=[Required()])
     submit = SubmitField('Submit')

　　這個表單中的字段都定義爲類變量，類變量的值是響應字段類型的對象。在這個實例中，NameForm表單中有一個名爲name的文本字段和一個名爲submit的提交按扭。StringField類表示屬性爲type="text"的<input>元素。SubmitField類表示屬性爲type="submit"的<input>元素。字段構造函數的第一個參數是把表單渲染成HTML時使用的標號。

　　StringField構造函數中可選參數validators指定一個由驗證函數組成的列表，在接受用戶提交的數據之前驗證數據。驗證函數Required()確保提交的字段不爲空。

　　Form基類由Flask-WTF擴展定義，所以從flask.ext.wtf中導入。字段和驗證函數卻可以直接從WTForms包中導入。

　　WTForms支持的HTML標準字段如下：
　　—————————————————————————————

　　　　StringField　　　  　 文本字段

　　　　TextAreaField　　     多行文本字段

　　　　PasswordField　　    密碼文本字段

　　　　HiddenField　　　　 隱藏文本字段

　　　　DateField　　　　　 文本字段，值爲datatime.date格式

　　　　DateTimeField　　　 文本字段，值爲datatime.datetime格式

　　　　IntegerField　　　　 文本字段，值爲整數

　　　　DecimalField　　　　文本字段，值爲decimal.Decimal

　　　　FloatField　　　　　 文本字段，值爲浮點數

　　　　BooleanField　　　　復選框，值爲True和False　　

　　　　RadioField　　　　   一組單選框

　　　　SelectField　　　　  下拉列表

　　　　SelectMultipleField　下拉列表，可選擇多個值

　　　　FileField　　　　　　文件上傳字段

　　　　SubmitField     　　　表單提交按扭

　　　　FormField　　　　    把表單作爲字段嵌入另一個表單

　　　　FieldList　　　　　　一組指定類型的字段

　　—————————————————————————————

　　WTForms內建的驗證函數如下：

　　—————————————————————————————

　　　　Email　　　　　　　驗證電子郵件地址

　　　　EqualTo　　　　　　比較兩個字段的值，常用與要求輸入兩次密碼進行確認的情況

　　　　IPAddress　　　　　驗證IPv4網絡地址

　　　　Length　　　　　　  驗證輸入字符串的長度　　

　　　　NumberRange　　　驗證輸入的值在數字範圍內

　　　　Optional　　　　　   無輸入值時跳過其他驗證函數

　　　　Required　　　　　  確保字段中有數據

　　　　Regexp　　　　　　確保正則表達式驗證輸入值

　　　　URL　　　　　　　   驗證URL

　　　　AnyOf　　　　　　　確保輸入字在可選值列表

　　　　NoneOf　　　　　　 確保輸入值不在可選值列表

　　—————————————————————————————

　　把表單渲染成HTML

　　表單字段是可調用的，在模板中調用後會渲染成HTML。假設視圖函數把一個NameForm實例通過參數form傳入模板，在模板中可以生成一個簡單的表單，如下：

 <form method="POST">
     {{form.hidden_tag()}}
     {{form.name.label}} {{form.name()}}
     {{form.submit()}}
 </form>

　　當然這個表單還很簡陋。要想改進表單的外觀，可以把參數傳入渲染字段的函數，傳入的參數會被轉換成字段HTML屬性。例如，可以把字段指定id或class屬性，然後定義CSS樣式：

  <form method="POST">
      {{form.hidden_tag()}}
      {{form.name.label}} {{form.name(id='my-text-field')}}
      {{form.submit()}}
  </form>