django-1.4官方文档_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
django-1.4官方文档
上传于||文档简介
&&d​j​a​n​g​o​-.官​方​文​档
阅读已结束，如果下载本文需要使用
想免费下载本文？
下载文档到电脑，查找使用更方便
还剩1169页未读，继续阅读
你可能喜欢本文是一个django 实现的完整文件上传示例代码，感兴趣同学参考下。
　　对于web开来说，用户登陆、注册、文件上传等是最基础的功能，针对不同的web框架，相关的文章非常多，但搜索之后发 现大多都不具有完整性，对于想学习web开发的新手来说就没办法一步一步的操作练习；对于web应用来说，包括数据库的创建，前端页面的开发，以及中间逻 辑层的处理三部分。
　　本系列以可操作性为主，介绍如何通过django&web框架来实现一些简单的功能。每一章都具有完整性和独立性。使用新手在动手做的过程中体会web开发的过程，过程中细节请参考相关文档。
什么是django:
Django是一个开放源代码的Web应用框架，由Python写成。采用了MVC的软件设计模式，即模型M，视图V和控制器C。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的，即是CMS（内容管理系统）软件。并于2005年7月在BSD许可证下发布。这套框架是以比利时的吉普赛爵士吉他手Django Reinhardt来命名的。
本操作的环境：
===================
deepin&linux&2013（基于ubuntu）
python&2.7
Django&1.6.2
===================
创建项目与应用 & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & && & & & & & & & & & & & &&
fnngj@fnngj-H24X:~/djpy$ django-admin.py startproject mysite2
fnngj@fnngj-H24X:~/djpy$ cd mysite2
#在项目下创建一个disk应用
fnngj@fnngj-H24X:~/djpy/mysite2$ python manage.py startapp disk
&目录结构如下：
打开mysite2/mysite2/settings.py文件，将disk应用添加进去：
# Application definition
INSTALLED_APPS = (
'django.contrib.admin',
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
'django.contrib.staticfiles',
'disk',
设计Model（数据库） & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &
打开mysite2/disk/models.py文件，添加如下内容
from django.db import models
# Create your models here.
class User(models.Model):
username = models.CharField(max_length = 30)
headImg = models.FileField(upload_to = './upload/')
def __unicode__(self):
return self.username
创建两个字段，username&用户存放用户名，headImg&用户存放上传文件的路径。
下面进行数据库的同步
fnngj@fnngj-H24X:~/djpy/mysite2$ python manage.py syncdb
Creating tables ...
Creating table django_admin_log
Creating table auth_permission
Creating table auth_group_permissions
Creating table auth_group
Creating table auth_user_groups
Creating table auth_user_user_permissions
Creating table auth_user
Creating table django_content_type
Creating table django_session
Creating table disk_user
You just installed Django's auth system, which means you don't have any superusers defined.
Would you like to create one now? (yes/no): yes
输入yes/no
Username (leave blank to use 'fnngj'):
用户名（默认当前系统用户名）
Email address:
Password (again):
Superuser created successfully.
Installing custom SQL ...
Installing indexes ...
Installed 0 object(s) from 0 fixture(s)
最后生成的&disk_user&表就我是我们models.py&中所创建的类。Django&提供了他们之间的对应关系。
创建视图 & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &
1、打开mysite2/disk/views.py&文件
from django.shortcuts import render,render_to_response
# Create your views here.
def register(request):
return render_to_response('register.html',{})
2、创建注册页面
先在mysite2/disk/目录下创建templates目录，接着在mysite2/disk/templates/目录下创建register.html&文件：
&?xml version=&1.0& encoding=&UTF-8&?&
&!DOCTYPE html PUBLIC &-//W3C//DTD XHTML 1.0 Strict//EN& &http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd&&
&html xmlns=&http://www.w3.org/1999/xhtml& xml:lang=&en& lang=&en&&
&meta http-equiv=&Content-Type& content=&text/ charset=UTF-8& /&
&title&&/title&
&h1&register&/h1&
3、设置模板路径
打开mysite2/mysite2/settings.py文件，在底部添加：
TEMPLATE_DIRS=(
'/home/fnngj/djpy/mysite2/disk/templates'
4、设置URL
from django.conf.urls import patterns, include, url
from django.contrib import admin
admin.autodiscover()
urlpatterns = patterns('',
# Examples:
# url(r'^$', 'mysite2.views.home', name='home'),
# url(r'^blog/', include('blog.urls')),
url(r'^admin/', include(admin.site.urls)),
url(r'^disk/', 'disk.views.register'),
5、启动服务
fnngj@fnngj-H24X:~/djpy/mysite2$ python manage.py runserver
Validating models...
0 errors found
May 20, 2014 - 13:49:21
Django version 1.6.2, using settings 'mysite2.settings'
Starting development server at http://127.0.0.1:8000/
Quit the server with CONTROL-C.
6、访问http://127.0.0.1:8000/disk/
注册页面可以正常打开说明整个过程已经走通。这也是Django开发的基本套路。读者一定要熟练理解这个基本套路。
完善表单提交 & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &&
　　通过上面的过程，我们只是把过程串了起来，细心你一定发现，我们的register.html&文件，并没有创建用户提交的表单，views.py文件中也并没有对用户提交的信息做处理。下面我们就针对这两个文件进一步的补充。
打开mysite2/disk/templates/register.html&文件：
&?xml version=&1.0& encoding=&UTF-8&?&
&!DOCTYPE html PUBLIC &-//W3C//DTD XHTML 1.0 Strict//EN& &http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd&&
&html xmlns=&http://www.w3.org/1999/xhtml& xml:lang=&en& lang=&en&&
&meta http-equiv=&Content-Type& content=&text/ charset=UTF-8& /&
&title&&/title&
&h1&register&/h1&
&form method=&post& enctype=&multipart/form-data& &
{{uf.as_p}}
&input type=&submit& value=&ok&/&
打开mysite2/disk/views.py&文件：
from django.shortcuts import render,render_to_response
from django import forms
from django.http import HttpResponse
# Create your views here.
class UserForm(forms.Form):
username = forms.CharField()
headImg = forms.FileField()
def register(request):
if request.method == &POST&:
uf = UserForm(request.POST,request.FILES)
if uf.is_valid():
return HttpResponse('upload ok!')
uf = UserForm()
return render_to_response('register.html',{'uf':uf})
再次刷新http://127.0.0.1:8000/disk/&页面
填写用户名，选择本地上传文件，点击&ok&
抛出一个错误，这个错误比较友好，所以不是我们操作过程中的小错误。
打开mysite2/mysite2/settings.py文件，将下面一行代码注释：
MIDDLEWARE_CLASSES = (
'django.contrib.sessions.middleware.SessionMiddleware',
'monMiddleware',
#'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
再次刷新http://127.0.0.1:8000/disk/&页面,我们就可以正常将用户名和文件提交了!
将数据写入数据库 & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &&
虽然已经实现了数据的提交，但用户名与文件并没有真正的写入到数据库。我们来进一步的完善mysite2/disk/views.py&文件：
#coding=utf-8
from django.shortcuts import render,render_to_response
from django import forms
from django.http import HttpResponse
from disk.models import User
# Create your views here.
class UserForm(forms.Form):
username = forms.CharField()
headImg = forms.FileField()
def register(request):
if request.method == &POST&:
uf = UserForm(request.POST,request.FILES)
if uf.is_valid():
#获取表单信息
username = uf.cleaned_data['username']
headImg = uf.cleaned_data['headImg']
#写入数据库
user = User()
user.username = username
user.headImg = headImg
user.save()
return HttpResponse('upload ok!')
uf = UserForm()
return render_to_response('register.html',{'uf':uf})
再次刷新http://127.0.0.1:8000/disk/&页面，完成文件的上传。
在项目的目录下，我们居然发现了用户提交的文件。
那数据库中保存的是什么呢？
fnngj@fnngj-H24X:~/djpy/mysite2$ sqlite3 db.sqlite3
SQLite version 3.7.15.2
Enter &.help& for instructions
Enter SQL statements terminated with a &;&
sqlite& select * from disk_
upload/desk.jpg
通过查看数据库发现，我们数据库中存放的并非用户上传的文件本身，而是文件的存放路径。
OK&，你可以在此基础上继续扩展，例如用户提交成功后，将用户名上传的文件名显示出来，或为上传页面加一个漂亮的样式等。
PHPERZ网友 发布于 14:09:35
(0)&&(0)&&
hello 发布于 21:57:36
这个程序有个问题，def register(request):
if request.method == \&POST\&:
uf = UserForm(request.POST,request.FILES)
if uf.is_valid():
return HttpResponse(\'upload ok!\')
uf = UserForm()
return render_to_response(\'register.html\',{\'uf\':uf})最下面那个return函数中的uf在最开始并未声明
2楼&&hello 回复于 08:53:08
不好意思，看错了
(0)&&(0)&&
Copyright &
All Rights Reserved分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向第三方安全合作伙伴开放
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
百度Ueditor Django版任意文件上传，可Shell
详细说明：
貌似不是百度官方发布的，但是百度推荐使用的。
/ueditor/#server-django
后台处理不当，导致任意文件上传。
本地下载django版的ueditor，安装好之后访问：
打开上传，抓包：
现在我们传个py文件，可以看到是禁止的，因为是白名单限制。
但是修改imagePathFormat的值为要保存的文件名即可绕过上传限制
同时，我们可以通过../这种方式绕过目录限制。而又由于该编辑器后台会默认覆盖已经存在的文件，所以我们可以通过这种方式覆盖掉urls.py中的配置来获取一个webshell,不过这样子的话破坏性就太强了。
漏洞证明：
修复方案：
简单，过滤下就OK了。
版权声明：转载请注明来源 @
厂商回应：
危害等级：低
漏洞Rank：5
确认时间： 18:57
厂商回复：
Django 部分代码是由第三方开发人员编写 ,已经在 github 上面提交对应的 pull rquest
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
官网都没有看到下载链接
django的站怎么拿shell，马克一下
django的 0_0
经过我的测试，完全可以getshell哦
苦逼了…好几个地方后台编辑器用的百度的 关注下~
shell难道是py文件？
python 除非你配置 cgi 模式，还有别的方法 getshell？
替换 view 文件？
@Ricter 其实就是覆盖urls.py和views.py，因为这俩文件很固定的样子
@i3p 被你猜到了，不过也只有这个方法了。。
也只能覆盖修改了...
评论爆出真相
我测试发现一个。不知道是不是楼主说的这个版本，上传图片哪里可以抓包修改。getshell.
@CASS 什么版本
我遇到好多这个编辑器了
关注！！！
登录后才能发表评论，请先哪有比较完整的Django-RESTful-framework 的中文文档？
官网，看英文。Django 项目是一个定制框架，它源自一个在线新闻 Web 站点，于 2005 年以开源的形式
被释放出来。 Django 框架的核心组件有：
o 用于创...
Django 项目是一个定制框架，它源自一个在线新闻 Web 站点，于 2005 年以开源的形式
被释放出来。 Django 框架的核心组件有：
o 用于创...
介绍Django本书所讲的是Django：一个可以使Web开发工作愉快并且高效的Web开发框架。使用Django，使你能够以最小的代价构建和维护高质量的Web...
Several Django books are already on the market, but ours differs from most in th...
全书分为12章和6个附录，内容包括，Django Python实战，Django速成：构建一个Blog，起始，定义和使用模型，URL、HTTP机制和视图，模板和...
摘要：随着Web技术的发展和软件工程的日益成熟，人们逐渐提出敏捷开发的要求。但是传统的Web框架像
Struts，Spring，．NET等由于其复杂性而很难满...
讲述如何用Python框架Django构建出强大的Web解决方案，本书讲解了使用新的Django 1.0版的各种主要特性所需要的技术、工具以及概念。 全书分为1...
Django 项目是一个 python[1]定制框架，它源自一个在线新闻 Web 站点，于 2005 年以开源的形式被释放出来。Django 框架的核心组件有：...
这份学习指南适合所有 Django 初学者，为了更好的学习效果，我们希望你能具备：
Web 的初步认识
了解如何使用 Command Line
略懂 Py...
在 Python 的世界当中有许多的 Web Framework，在众多的 Web Framework 当中， 最常被提到的就是 Django 了。
虽然在台...
How can you take advantage of the Django framework to integrate complex client-s...
Django表单处理——处理web开发的下一个难题：建立用户输入的视图。搜索在web应用上，有两个关于搜索获得巨大成功的故事：Google和Yahoo，通过搜索...
首先确保您的电脑已经安装了Python，其次就是确保已经安装了Django，Django可以
在官方网站http:// www.djangoproject.c...
Django 的数据查询基于构建结果集及对结果集进行取值. 结果集是独立于数据库的符合某个查询条件的一组数据对象的集合.这是一个惰性集合:在对该集合取值之前,无...
Django是Python下最热门的Web开发框架(Web Framework)，它的功能强大、社区活跃、应用众多、发展迅速，被众多高手看好，受到了广大Pyth...
Django是由Python驱动的开源模型-视图-控制器（MVC）风格的Web应用程序框架，使用Django可以在即可分钟内快速开发一个高品质易维护数据库驱动的...
本书所讲的是Django：一个可以使Web开发工作愉快并且高效的Web开发框架。 使用Django，使你能够以最小的代价构建和维护高质量的Web应用。
Django在新一代的 Web框架 中非常出色，为什么这么说呢？为回答该问题，让我们考虑一下不使用框架设计Python网页应用程序的情形。贯穿整本书，我们多次...
本书所讲的是Django－－该 Web 开发框架能够节约你的时间并令 Web 开发充满乐趣。使用Django，花极少时间即可构建和
维护质量上乘的Web应用。...
本书所讲的是Django：一个可以使Web开发工作愉快并且高效的Web开发框架。 使用Django，使你能够以最小的代价构建和维护高质量的Web应用。
最新资讯 -
最新经验 -
本分类热门文档
16708次浏览 &28次下载
9233次浏览 &8次下载
5644次浏览 &6次下载
2954次浏览 &4次下载
4901次浏览 &2次下载
6697次浏览 &8次下载
1259次浏览 &1次下载
3141次浏览 &0次下载
2674次浏览 &3次下载
9671次浏览 &2次下载
最新的讨论 -
OPEN-OPEN, all rights reserved.}