Django Formen: Foreign Key in Hidden-Feld

Meine form:

class PlanForm(forms.ModelForm):    
    owner = forms.ModelChoiceField(label="",
                                  queryset=Profile.objects.all(),
                                  widget=forms.HiddenInput())
    etc...

    class Meta:
        model = Plan

Besitzer, in der Modell, ist ein ForeignKey zu einem Profil.

Wenn ich dieses Formular habe ich den Wert von "Eigentümer" zu werden, ein Profil-Objekt.

Aber wenn das raus kommt auf die form scheint zu enthalten, die Namen das Profil wie dieses:

<input type="hidden" name="owner" value="phil" id="id_owner" />

Wenn das Formular abgeschickt wird und wieder bekommt meine views.py ich versuche, es zu handhaben wie dieser:

    form = PlanForm(request.POST)
    ...
    if form.is_valid():                
        plan = form.save()
        return HttpResponseRedirect('/plans/%s'%plan.id) # Redirect after POST

Allerdings, was ich sehe, ist ein Typ-Fehler bei der Konvertierung, wie Sie es versäumt, drehen Sie die Zeichenfolge "phil" (der name des Benutzer, der gespeichert wurde, in die "Besitzer" - Feld) in einen Int, um Sie in die ForeignKey.

Also, was ist hier Los. Sollte eine ModelForm stellen einen Fremdschlüssel als Zahl und transparent umgehen? Oder Brauch ich zu extrahieren der id mich in dem Eigentümer-Feld des Formulars? Und wenn ja, wie und Wann muss ich die Karte zurück, BEVOR ich versuche, die zur Validierung der form?

  • wie sind Sie mit der Einstellung der Wert der Besitzer, wenn Sie die form. Können wir das erkennen?
InformationsquelleAutor interstar | 2009-03-07
  1. 18

    Ich vermute, dass die __unicode__ Methode für das Profil-Modell-Instanz, oder die repr davon zurück gesetzt einen anderen Wert als self.id. Zum Beispiel, ich habe gerade diese up:

    # models.py
class Profile(models.Model):
    name = models.CharField('profile name', max_length=10)

    def __unicode__(self):
        return u'%d' % self.id

class Plan(models.Model):
    name = models.CharField('plan name', max_length=10)
    profile = models.ForeignKey(Profile, related_name='profiles')

    def __unicode__(self):
        return self.name


# forms.py
class PlanForm(forms.ModelForm):
    profile = forms.ModelChoiceField(queryset=Profile.objects.all(),
            widget=forms.HiddenInput())

    class Meta:
        model = Plan

# views.py
def add_plan(request):

    if request.method == 'POST':
        return HttpResponse(request.POST['profile'])


    profile = Profile.objects.all()[0]
    form = PlanForm(initial={'profile':profile})
    return render_to_response('add_plan.html',
            {
                'form':form,
            },
            context_instance=RequestContext(request))

    Mit, dass ich sehen PlanForm.Profil gerendert, also in der Vorlage:

    <input type="hidden" name="profile" value="1" id="id_profile" />
    InformationsquelleAutor ayaz
  2. 11

    Hmm...

    Dies könnte tatsächlich zu einem Sicherheitsproblem werden.

    Angenommen, ein Angreifer gestaltete einen BEITRAG (z.B. durch Verwendung von XmlHttpRequest aus FireBug) und die Profil-Begriff zu einigen abgedrehten Wert, wie Ihre Profil-ID. Wahrscheinlich nicht das was du wolltest?

    Wenn möglich, möchten Sie vielleicht, um das Profil aus dem request-Objekt selbst, sondern als das, was vorgelegt wird, aus der POST-Werte.

    form = PlanForm(request.POST)
if form.is_valid():
    plan = form.save(commit=False)
    plan.owner = request.user.get_profile()
    plan.save()
    form.save_m2m() # if neccesary
    • +1. POST-Daten können leicht temperiert werden. Aber warum die Referenz-Profil auf, wenn wir den Verweis auf den Benutzer?
    • Die commit=False trick meinen Tag gerettet, danke.
    InformationsquelleAutor SingleNegationElimination
  3. 8

    Wenn Sie ein Profil zuweisen-Objekt auf das Formular, Django stringifies es und verwendet die Ausgabe als Wert in der form. Was Sie erwarten würden, obwohl, ist für Django zu verwenden, die ID des Objekts statt.

    Glücklicherweise ist die Abhilfe ist einfach: Sie geben der form primary key Werte der Profil-Objekten statt:

    form = PlanForm(initial={'profile': profile.pk})

    Am anderen Ende, wenn man mit gebundenen Formularen arbeiten Sie jedoch viel sinnvoller:

    form = PlanForm(request.POST)
if form.is_valid():
    print form.cleaned_data['profile']  # the appropriate Profile object
    • OK ... das hilft. Komisch, Sie haben explizit die zu .pk beim erstellen der form, aber nicht re-Referenz beim Lesen
    InformationsquelleAutor Guðmundur H
  4. 2

    Seit ModelChoiceField erbt von ChoiceFIeld, sollten Sie die MultipleHiddenInput widget für diese:

    class PlanForm(forms.ModelForm):    
  owner = forms.ModelChoiceField(
            queryset=Profile.objects.all(),
            widget=forms.MultipleHiddenInput())

  class Meta:
    model = Plan
    InformationsquelleAutor dustinfarris
  5. 1

    Gibt es in der Regel nicht notwendig, bezogen Objekt in form-Feld. Gibt es einen besseren Weg, und das ist die Angabe, parent-id in Formular-URL.

    Nehmen wir an, Sie brauchen, um eine form darzustellen, die für die neue Plan-Objekt und erstellen Sie dann ein, wenn die form ist bubmitted. Hier erfahren Sie, wie Ihre urlconf würde wie folgt Aussehen:

    (r"/profile/(?P<profile_id>\d+)/plan/new", view.new_plan), # uses profile_id to define proper form action
(r"/profile/(?P<profile_id>\d+)/plan/create", view.create_plan) # uses profile_id as a Plan field

    Und wenn Sie die änderung von bestehenden Objekt -, alles, was Sie brauchen, ist plan_id, können Sie entnehmen, alle zugehörigen Datensatz aus es.

    • das ist ein interessanter Ansatz. Es ist nicht das richtige für mich, in diesem Fall, da Pläne sind nicht konzeptionell "unten" Besitzer der Profile (und ich kann eine Menge andere Verwandte Objekte), Aber ich sehe es in einigen Fällen.
    • Abgeordnet. Dies ist der Ansatz, den ich lieber mit mir selbst.
    • Entlang den gleichen Linien, die URLConf werden konnte (r'^plan/create', anzeigen.plan.erstellen), und geben Sie das Profil und/oder anderen plan info als BEKOMMEN. Ihr Blick prüft für GET-params und pre-füllt das Formular mit Ihnen. Planerstellung noch idempotent, da die GET-Anforderung nicht eigentlich einen neuen Plan, nur Samen die form.
    InformationsquelleAutor Alexander Lebedev
Schreibe einen Kommentar