2

サインアップフォームを作成しようとしています{{ form.as_p }}が、UserCreationFormを使用してレンダリングすると、すべての可能なフィールドがユーザーに表示されます。今、いくつかのフィールドは、管理者だけがアクセスできるようにしたいです。

だから、私はあなたがメタクラスのフィールドを指定することができることを知っていますfields=(f1,f2...)

しかし、悪意のあるユーザーは、フォームに技術的に表示されていなくても、「シークレット」フィールドを使用してPOSTリクエストを手動で送信することはできませんか?

これに対抗する方法を私が知っている唯一の方法は、各フィールドを手動で検証し、ユーザーがこれらの「秘密の」フィールドに触れないようにモデルオブジェクトを自分で作成することです。どのように、これはUserCreationFormを使用する目的を無効にしているようです。これについてもっと良い方法はありますか?

参考までに、UserCreationFieldの目的を破ることを意味する場合、user = super(UserCreationForm,self).save(commit=True)安全に使用することはできませんか?

4

1 に答える 1

3

フォームがフィールドの存在を認識していない場合(つまり、fieldsメタクラスのリストにない場合)、送信されたデータでそのフィールドの値を検索しません。したがって、フォームからデータを安全に保存できます。

例として、次のモデルがあるとします。

from django.db import models

class Person(models.Model):
    name = models.CharField(max_length=100)
    age = models.PositiveIntegerField(blank=True, null=True)
    hobbies = models.CharField(max_length=200, blank=True, null=True)

次にLimitedCreateForm、名前と趣味のみを取得し、年齢を設定しないを作成できます。テストの目的で、このフォームをビューで使用して、送信されたデータと対応する作成者をデバッグの目的でブラウザーにダンプします。

from django.shortcuts import render
from django import forms

from testapp.models import Person

class LimitedCreateForm(forms.ModelForm):
    class Meta:
        model = Person
        fields = ('name', 'hobbies')

def create_limited(request):
    submitted = ""
    new_user = None

    if request.method == 'POST':
        submitted = str(request.POST)
        form = LimitedCreateForm(request.POST)
        if form.is_valid():
            new_user = form.save()

    else:
        form = LimitedCreateForm()

    data = {
        'form': form,
        'submitted': submitted,
        'new_user': new_user,
    }

    return render(request, 'create_limited.html', data)

テストの最後のステップは、デバッグデータ(フォームからのPOSTデータと作成された対応する人物)を表示するテンプレートを作成し、年齢のフィールドを含む「悪意のある」フォームを作成することです。

<html>

<body>

<h1>
Submitted data:
</h1>

<p>
{{ submitted|default:"Nothing submitted" }}
</p>

<h1>
Created user
</h1>

<p>
Name: {{ new_user.name|default:"Nothing" }}
<br />
Age: {{ new_user.age|default:"Nothing" }}
<br />
Hobbies: {{ new_user.hobbies|default:"Nothing" }}
</p>

<h1>
Form
</h1>

<form method="post">
    {% csrf_token %}
    Name: <input type="text" name="name" id="id_name">
    <br />
    Age: <input type="text" name="age" id="id_age">
    <br />
    Hobbies: <input type="text" name="hobbies" id="id_hobbies">
    <br />
    <input type="submit" value="Create" />
</form>

</body>

</html>

次にそれを実行し、いくつかの値を送信すると、次のデバッグ出力が得られます。

提出されたデータ:

<QueryDict: 
{u'age': [u'27'], 
u'csrfmiddlewaretoken': [u'ed576dd024e98b4c1f99d29c64052c15'], 
u'name': [u'Bruce'], 
u'hobbies': [u'Dancing through fields of flowers']}>`

作成したユーザー

Name: Bruce 
Age: Nothing 
Hobbies: Dancing through fields of flowers

これは、フォームが送信された27歳を無視し、通知されたフィールドのみを保存したことを示しています。

除外するフィールドのリストを指定する場合(つまり、formsメタクラスではexclude = ('age',)なく)、これが当てはまることに注意してください。fields = ('name', 'hobbies')

于 2013-01-05T22:58:40.580 に答える