V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐学习书目
Learn Python the Hard Way
Python Sites
PyPI - Python Package Index
http://diveintopython.org/toc/index.html
Pocoo
值得关注的项目
PyPy
Celery
Jinja2
Read the Docs
gevent
pyenv
virtualenv
Stackless Python
Beautiful Soup
结巴中文分词
Green Unicorn
Sentry
Shovel
Pyflakes
pytest
Python 编程
pep8 Checker
Styles
PEP 8
Google Python Style Guide
Code Style from The Hitchhiker's Guide
CatCode
V2EX  ›  Python

问几个关于 Django 的弱智的问题,年末赶工,感觉自己💊

  •  
  •   CatCode · 2017-12-20 22:46:47 +08:00 · 2954 次点击
    这是一个创建于 2289 天前的主题,其中的信息可能已经有所发展或是发生改变。
    1. django这个词怎么读?
    2. 目前是在用 Django 1.11 做事情,Python3.6,数据库是 MySQL,python 的数据库连接是 mysqlclient。请问在 Django 里有没有包含简单的防注入措施?
    3. 当用户访问某个页面,就要触发服务器上一个 shell 脚本,而且必须是 root 权限,但不需要等待脚本的执行结果。请问用哪种方法实现比较好?

    最近赶工,作为一个非专业的,面对任务力不从心,请原谅我做了一回伸手党,感谢各位。

    14 条回复    2017-12-21 17:34:30 +08:00
    eastpiger
        1
    eastpiger  
       2017-12-20 22:53:18 +08:00
    1,个人一般习惯读作姜狗
    2,直接用 Django 自带的 ORM 模块,日常大部分弱智注入漏洞足够了。
    3,消息队列 定时任务 试试 Celery
    leelee
        2
    leelee  
       2017-12-20 22:54:48 +08:00
    姜狗
    ivechan
        3
    ivechan  
       2017-12-20 23:04:38 +08:00
    有一个很出名的电影叫 <<被解救的姜戈>>
    他就是 django
    rogwan
        4
    rogwan  
       2017-12-20 23:10:24 +08:00 via Android   ❤️ 1
    django 全套官方组建,不要自己写裸表单,官方组件安全系数很高了,一般人根本攻不破的。
    clino
        5
    clino  
       2017-12-20 23:12:34 +08:00
    3 建议触发一个 jenkins job
    CatCode
        6
    CatCode  
    OP
       2017-12-21 09:06:21 +08:00
    @eastpiger @clino 请问能不能在 python 和 django 内实现?因为目标是轻量级,简单便于维护。
    cominghome
        7
    cominghome  
       2017-12-21 09:28:34 +08:00
    @CatCode Celery 怕是逃不过去哦,直接把执行脚本的逻辑写在 view 里面的话容易出事
    clino
        8
    clino  
       2017-12-21 09:45:10 +08:00
    @cominghome #7 写在 view 里也不太可能,因为用 root 跑,除非用 root 跑 web 才可能

    跑一个 jenkins 其实非常简单,当然占的资源不会太少,如果要求资源少的话我觉得可以在 root 跑一个 rpc 的服务(可以用 python 写)供 web 端调用,这样也不太费事
    roricon
        9
    roricon  
       2017-12-21 10:00:05 +08:00
    1 和 2 有人解答了.

    3. celery 可以做, 但还有个包 https://github.com/Koed00/django-q 感觉比 celery 上手简单点.
    roricon
        10
    roricon  
       2017-12-21 10:03:09 +08:00
    @clino 其实是可以 sudo 的, 只不过这么做实在是太不安全, 不推荐

    https://stackoverflow.com/questions/13045593/using-sudo-with-python-script
    yilai
        11
    yilai  
       2017-12-21 14:39:55 +08:00
    1.有
    2.Queue
    yilai
        12
    yilai  
       2017-12-21 14:40:29 +08:00
    0.粘钩....
    xpresslink
        13
    xpresslink  
       2017-12-21 15:36:29 +08:00
    1.2.两题都有人答了。
    3. 说个轻量级的解决方案吧,只要你的 LINUX 稍有点基础就能做到。

    比较也容易实现的方法是直接 subprocess.call('sudo /absolute/path/your.sh')
    visudo 或 vi /etc/sudoers
    django_user_name ALL= (root) NOPASSWD: /absolute/path/your.sh
    %django_group ALL=(root) NOPASSWD
    这个方式省事但有一定的安全隐患

    另一个比较安全的方案是:
    可以在由 django 在需执行脚本时创建一个标志文件。
    然后由 root 用户创建一个定时任务,用脚本每分钟查询是不是有这个文件,有就执行脚本,删除标志文件。
    # crontab -e
    /1 * * * * /absolute/path/check.sh
    TesterCC
        14
    TesterCC  
       2017-12-21 17:34:30 +08:00
    1,2 前面已经回答的简明扼要了。
    对于第 3 个问题,建议 LZ 你简单介绍下业务需求,根据业务需求来选择实现方式:
    举个例子:仅仅是触发 sh,那你触发 jenkins api 去执行 sh 也可行,还安全省事。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3324 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 11:24 · PVG 19:24 · LAX 04:24 · JFK 07:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.