Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
推荐学习书目
Learn Python the Hard Way
Python Sites
PyPI - Python Package Index
http://diveintopython.org/toc/index.html
Pocoo
值得关注的项目
PyPy
Celery
Jinja2
Read the Docs
gevent
pyenv
virtualenv
Stackless Python
Beautiful Soup
结巴中文分词
Green Unicorn
Sentry
Shovel
Pyflakes
pytest
Python 编程
pep8 Checker
Styles
PEP 8
Google Python Style Guide
Code Style from The Hitchhiker's Guide
CatCode
V2EX  ›  Python

问几个关于 Django 的弱智的问题,年末赶工,感觉自己💊

  •   
  •   CatCode · Dec 20, 2017 · 3660 views
    This topic created in 3060 days ago, the information mentioned may be changed or developed.
    1. django这个词怎么读?
    2. 目前是在用 Django 1.11 做事情,Python3.6,数据库是 MySQL,python 的数据库连接是 mysqlclient。请问在 Django 里有没有包含简单的防注入措施?
    3. 当用户访问某个页面,就要触发服务器上一个 shell 脚本,而且必须是 root 权限,但不需要等待脚本的执行结果。请问用哪种方法实现比较好?

    最近赶工,作为一个非专业的,面对任务力不从心,请原谅我做了一回伸手党,感谢各位。

  • django
  • Python
  • 赶工
  • 脚本
    14 replies    2017-12-21 17:34:30 +08:00
    eastpiger
        1
    eastpiger  
       Dec 20, 2017
    1,个人一般习惯读作姜狗
    2,直接用 Django 自带的 ORM 模块,日常大部分弱智注入漏洞足够了。
    3,消息队列 定时任务 试试 Celery
    leelee
        2
    leelee  
       Dec 20, 2017
    姜狗
    ivechan
        3
    ivechan  
       Dec 20, 2017
    有一个很出名的电影叫 <<被解救的姜戈>>
    他就是 django
    rogwan
        4
    rogwan  
       Dec 20, 2017 via Android   ❤️ 1
    django 全套官方组建,不要自己写裸表单,官方组件安全系数很高了,一般人根本攻不破的。
    clino
        5
    clino  
       Dec 20, 2017
    3 建议触发一个 jenkins job
    CatCode
        6
    CatCode  
    OP
       Dec 21, 2017
    @eastpiger @clino 请问能不能在 python 和 django 内实现?因为目标是轻量级,简单便于维护。
    cominghome
        7
    cominghome  
       Dec 21, 2017
    @CatCode Celery 怕是逃不过去哦,直接把执行脚本的逻辑写在 view 里面的话容易出事
    clino
        8
    clino  
       Dec 21, 2017
    @cominghome #7 写在 view 里也不太可能,因为用 root 跑,除非用 root 跑 web 才可能

    跑一个 jenkins 其实非常简单,当然占的资源不会太少,如果要求资源少的话我觉得可以在 root 跑一个 rpc 的服务(可以用 python 写)供 web 端调用,这样也不太费事
    roricon
        9
    roricon  
       Dec 21, 2017
    1 和 2 有人解答了.

    3. celery 可以做, 但还有个包 https://github.com/Koed00/django-q 感觉比 celery 上手简单点.
    roricon
        10
    roricon  
       Dec 21, 2017
    @clino 其实是可以 sudo 的, 只不过这么做实在是太不安全, 不推荐

    https://stackoverflow.com/questions/13045593/using-sudo-with-python-script
    yilai
        11
    yilai  
       Dec 21, 2017
    1.有
    2.Queue
    yilai
        12
    yilai  
       Dec 21, 2017
    0.粘钩....
    xpresslink
        13
    xpresslink  
       Dec 21, 2017
    1.2.两题都有人答了。
    3. 说个轻量级的解决方案吧,只要你的 LINUX 稍有点基础就能做到。

    比较也容易实现的方法是直接 subprocess.call('sudo /absolute/path/your.sh')
    visudo 或 vi /etc/sudoers
    django_user_name ALL= (root) NOPASSWD: /absolute/path/your.sh
    %django_group ALL=(root) NOPASSWD
    这个方式省事但有一定的安全隐患

    另一个比较安全的方案是:
    可以在由 django 在需执行脚本时创建一个标志文件。
    然后由 root 用户创建一个定时任务,用脚本每分钟查询是不是有这个文件,有就执行脚本,删除标志文件。
    # crontab -e
    /1 * * * * /absolute/path/check.sh
    TesterCC
        14
    TesterCC  
       Dec 21, 2017
    1,2 前面已经回答的简明扼要了。
    对于第 3 个问题,建议 LZ 你简单介绍下业务需求,根据业务需求来选择实现方式:
    举个例子:仅仅是触发 sh,那你触发 jenkins api 去执行 sh 也可行,还安全省事。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3380 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 83ms · UTC 13:14 · PVG 21:14 · LAX 06:14 · JFK 09:14
    ♥ Do have faith in what you're doing.