django安全小措施--如何禁用掉在模板中修改和删除数据库
看djangobook3.py3k.com的第四章,偶然发现django设计的方法调用过程中给了一个安全小措施。
举个简单的例子:你的一个 BankAccount 对象有一个 delete() 方法。在BankAccount的对象访问过程中,应该授予权限才能执行account的删除和修改操作。即不应该允许模板包含像 {{account.delete}} 这样的方法调用。要防止这样的事情发生,Django要求必须设置该方法的 alters_data 函数属性:
def delete(self): # Delete the account delete.alters_data = True
这样,模板系统不会执行任何以该方式进行标记的方法。也就是说,如果模板包含了 {{account.delete}} ,该标签不会调用 delete() 方法。它只会安静地失败(并不会引发异常)。
