Django, wie Validierung der POST-Parameter

Passiere ich einige Parameter zu django durch eine POST-Anfrage. Wie kann ich überprüfen, ob ein parameter ist ein integer, ein String, und auch, dass es keine unsicheren Sachen wie code-injection-innen?
Gibt es eine django-Funktion, die ich nutzen kann?

Beispiel:

if request.method == 'POST':
    print request.POST.get('user_comment')

Wie kann ich überprüfen, ob die POST-parameter enthält eine nicht gefährliche String für mein system? So etwas wie 

request.POST.get('user_comment').is_valid()

Dank.

InformationsquelleAutor John Smithv1 | 2015-11-20
  1. 12

    Zur überprüfung, ob POST Daten sicher sind, die richtige Art etc Sie können Formulare in django. Zum Beispiel, wenn Sie erwarten sind 3 Parameter erforderlich, einem string und 2 ganze zahlen, können Sie Formular erstellen:

    from django import forms

class MyValidationForm(forms.Form):
    first = forms.CharField()
    second = forms.IntegerField()
    third = forms.IntegerField()

    Und deren Verwendung in der Ansicht:

    if request.method == 'POST':
    form = MyValidationForm(request.POST, request.FILES)
    if not form.is_valid():
        # print some error here
    else:
        # do whatever you like

    Zur Filterung, wenn string nicht enthalten, etwas gefährlich, es gibt keine Allgemeine Lösung. Es gibt verschiedene Bedrohungen für Datenbanken, XSS etc, so dass es keine Möglichkeit gibt, um es zu filtern alle.

    • So ist der is_valid() Funktion nur überprüft, wenn die Parameter passen in ein CharField oder IntegerField etc. Nichts mit xss, etc?
    • Es gibt verschiedene Methoden zum Schutz vor XSS oder SQL-Injection in django. Die richtigen Wege für XSS eingebaut sind Vorlagen. Für SQL-Injection, ORM wird die Arbeit machen, wenn Sie nicht mit raw-Abfragen oder extra
    InformationsquelleAutor GwynBleidD
  2. 6

    Wenn Sie mit Django REST Framework, dann können Sie etwas wie das folgende in Ihrem Blick.

    from rest_framework import status
from rest_framework.views import APIView

class MyView(APIView):
  def post(self , request):
    serializer = MySerializer(data = request.data)
    if serializer.is_valid():
      serializer.save()
      return Response({"status" : "Success"} , status = status.HTTP_201_CREATED)

    Wenn Sie nicht mit der DRF zu tun haben, einen Blick auf serializers.py zu sehen, wie is_valid() umgesetzt wird. Im Grunde ruft es run_validators() Funktion django.db.Modelle.Felder. Hoffe, das hilft!

    • Diese Methode erwartet ein Modell hinter jeder API-Anfrage. Ich meine, dass eine Serialisierung bedeutet, dass ein model. Was ist, wenn ich nur wollen, um gültige API-Anfrage, ohne dass Sie ein Modell?
    • Es ist völlig möglich, ein Serializer ohne Django-Modell, wenn Sie wissen über die Parameter/Felder Anfrage.Daten enthält.
    • Ja, ich konnte herausfinden, dass nach dem Lesen der Dokumentation und dem Versuch mich selbst.
    InformationsquelleAutor Muhammad Fahad Manzoor
  3. 3

    Kann man sich überlegen, cleaned_, bevor Ihr Feld zu setzen Validierungen auf.
    Zum Beispiel, wenn Sie wollen, überprüfen Sie Benutzernamen und u haben ein Modell definiert, wie es,

    class MyModel(models.Model):
    username = model.CharField(max_length = 255)

    dann für die gleiche, die Sie haben eine form, wie unter

    class MyForm(forms.ModelForm):
    class Meta:
        model = MyModel
        fields = ['username']

    def clean_username(self):
        username = self.cleaned_data.get('username')
        """ this will give you the actual username from the field
            Now you may get that validated
        """
        if username == "blah blah":
            return forms.ValidationError("This isnt any name!")
        else:
            return username

    Dies ist pro die django-Dokumentation, die sagt:

    "Clean () - Methode auf ein Feld Unterklasse ist verantwortlich für den Betrieb to_python(), validate(), und run_validators() in der richtigen Reihenfolge und der Propagierung Ihrer Fehler. Wenn, zu irgendeinem Zeitpunkt eine der Methoden raise ValidationError, die Validierung beendet ist und dass Fehler ausgelöst. Diese Methode gibt die Daten bereinigen, die wird dann eingefügt in die cleaned_data Wörterbuch der form.

    Den clean_ () - Methode aufgerufen, die ein Formular Unterklasse – wo ist ersetzt durch den Namen des Formularfeldes Attribut. Diese Methode ist die Reinigung, die spezifisch für das jeweilige Attribut, unabhängig von der Art von Feld es ist. Diese Methode wird nicht übergeben beliebige Parameter. Benötigen Sie zum nachschlagen der Wert des Feldes selbst.cleaned_data und denken Sie daran, dass es ein Python-Objekt an dieser Stelle nicht die ursprüngliche Zeichenfolge in der vorgelegten form (es wird im cleaned_data, weil der Allgemeine Bereich clean () - Methode, die oben, bereits gereinigt, noch einmal die Daten)."

    InformationsquelleAutor Rahul Lakhanpal
  4. 2

    der einfachste Weg ist das erstellen eines Formulars: 

    from django import forms

class SingleForm(forms.Form):
    user_comment = forms.CharField(max_length=100)

    dann 

    comment = SingleForm(request.POST or None)
if comment.is_valid():
    # here everything is cleaned and safe

    oder Sie wollen es tun, ohne ein Formular?

    InformationsquelleAutor doniyor
  5. 0

    Bezug auf code-Injektion, die Sie verwenden können, bleach zur Bereinigung von Benutzereingaben:

    >>> import bleach
>>> bleach.clean('an <script>evil()</script> example')
u'an &lt;script&gt;evil()&lt;/script&gt; example'

    Finden Sie weitere Informationen über Sicherheit auf der offiziellen Django-Dokumentation:

    InformationsquelleAutor César
Schreibe einen Kommentar