1

django-pistonを使用して汎用CRUDを作成する予定です。私のサンプルコードの1つは次のとおりです

class TaskHandler(BaseHandler):
allowed_methods = ('GET','POST',)
model = Task

def read(self, name=None):
    return self.model.objects.all()

def create(self, request, *args, **kwargs):
    if not self.has_model():
        return rc.NOT_IMPLEMENTED

    attrs = self.flatten_dict(request.POST)
    if attrs.has_key('data'):
        #  rest.POST.get('data') has csrfmiddlewaretoken as a hiddenfield
        #  i need to exclude it from post as my ORM is giving error message
        ext_posted_data = simplejson.loads(request.POST.get('data'))
        attrs = self.flatten_dict(ext_posted_data)

    try:
        inst = self.model.objects.get(**attrs)
        return rc.DUPLICATE_ENTRY
    except self.model.DoesNotExist:
        inst = self.model(**attrs)
        inst.save()
        return inst
    except self.model.MultipleObjectsReturned:
        return rc.DUPLICATE_ENTRY

以下はエラーログです

Piston/0.2.2 (Django 1.4) crash report:
  Traceback (most recent call last): 
   File "C:\Python27\Lib\site-packages\django\bin\sumit\sumit\handler.py", line 27,
      in create inst = self.model.objects.get(**attrs) 
   File "C:\Python27\lib\site-packages\django\db\models\manager.py", line 131, 
      in get return self.get_query_set().get(*args, **kwargs)
   File "C:\Python27\lib\site-packages\django\db\models\query.py", line 358,
      in get clone = self.filter(*args, **kwargs) 
   File "C:\Python27\lib\site-packages\django\db\models\query.py", line 621,
      in filter return self._filter_or_exclude(False, *args, **kwargs)
   File "C:\Python27\lib\site-packages\django\db\models\query.py", line 639,
      in _filter_or_exclude clone.query.add_q(Q(*args, **kwargs))
   File "C:\Python27\lib\site-packages\django\db\models\sql\query.py", line 1250,
      in add_q can_reuse=used_aliases, force_having=force_having)
   File "C:\Python27\lib\site-packages\django\db\models\sql\query.py", line 1122,
      in add_filter process_extras=process_extras)
   File "C:\Python27\lib\site-packages\django\db\models\sql\query.py", line 1316,
      in setup_joins "Choices are: %s" % (name, ", ".join(names))) 

    FieldError: **Cannot resolve keyword 'csrfmiddlewaretoken' into field.
      Choices are:  complete, id, name**
4

1 に答える 1

4

要するに:それをしないでください。

どのユーザーも、必要な POST パラメーターを送信できます。フォームにランダムな POST パラメータが含まれていなくても、ランダムな POST パラメータが追加されないという保証はまったくありません。

パラメータを除外しようとする代わりに、csrfmiddlewaretoken含めたいパラメータをホワイトリストに登録してみてください。つまり、モデル フィールドに対応するものだけを選択しユーザーがそれらをフィルター処理できるようにする必要があります。

更新:
では、好奇心を満たすためだけに、それを除外する方法を説明します。flatten_dict通常の Python 辞書を返します。つまり、辞書から簡単del attrs['csrfmiddlewaretoken']に削除できます。

更新 (2):
ホワイトリストに登録するには、次のようなものが機能するはずです。

allowed_keys = ['complete', 'id', 'name']
attrs = dict((key, value) for key, value in ext_posted_data if key in allowed_keys)
于 2012-05-09T08:36:51.547 に答える