https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:19 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/899-dlaczego-przyklad-przestal-dzialac.html#c3631 https://archive.mroczna-zaloga.org/archives/899-dlaczego-przyklad-przestal-dzialac.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=899 nospam@example.com (0in) Dokumentacja django jak i jego możliwości są naprawdę obszerne, przy tym w naprawdę prosty sposób można zabezpieczyć webaplikacje. Treść zmiennej jest filtrowana lub kodowana (esacpe) przy wyświetlaniu, parser templaty filtruje całą zawartość. Cały artykuł można znaleźć tu: http://docs.djangoproject.com/en/dev/ref/templates/builtins/?from=olddocs Wed, 09 Mar 2011 19:21:47 +0100 https://archive.mroczna-zaloga.org/archives/899-guid.html#c3631 https://archive.mroczna-zaloga.org/archives/899-dlaczego-przyklad-przestal-dzialac.html#c3630 https://archive.mroczna-zaloga.org/archives/899-dlaczego-przyklad-przestal-dzialac.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=899 nospam@example.com (Paweł Goleń) Bardziej chodziło mi o kontekst typu kodowanie/filtrowanie właściwe dla treści HTML, atrybutu HTML, kodu JavaScript, adresu URL (i tak dalej). Wed, 09 Mar 2011 19:06:35 +0100 https://archive.mroczna-zaloga.org/archives/899-guid.html#c3630 https://archive.mroczna-zaloga.org/archives/899-dlaczego-przyklad-przestal-dzialac.html#c3629 https://archive.mroczna-zaloga.org/archives/899-dlaczego-przyklad-przestal-dzialac.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=899 nospam@example.com (0in) Jeśli chodzi o kontekst np. komentarzy na stronie - oczywiście wyświetlając je, musimy je filtrować, czyli {%zmienna%}, jeśli chodzi o panel administratora - wiadomo, tu ryzyko mniejsze, "błędów" typu html injection się raczej nie filtruje, więc pozwalamy sobie na {%zmienna|safe%}. Wed, 09 Mar 2011 17:57:31 +0100 https://archive.mroczna-zaloga.org/archives/899-guid.html#c3629 https://archive.mroczna-zaloga.org/archives/899-dlaczego-przyklad-przestal-dzialac.html#c3619 https://archive.mroczna-zaloga.org/archives/899-dlaczego-przyklad-przestal-dzialac.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=899 nospam@example.com (Paweł Goleń) A mógłbyś rozwinąć temat? Nie znam django od strony programisty. Czy filtrowanie (encoding?) jest specyficzny dla kontekstu, w którym zmienna jest użyta? Jakie są tego reguły? Tue, 08 Mar 2011 22:33:52 +0100 https://archive.mroczna-zaloga.org/archives/899-guid.html#c3619 https://archive.mroczna-zaloga.org/archives/899-dlaczego-przyklad-przestal-dzialac.html#c3614 https://archive.mroczna-zaloga.org/archives/899-dlaczego-przyklad-przestal-dzialac.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=899 nospam@example.com (0in) W przypadku pythona z django mamy zawsze w templatce możliwą do dodania wartość { %zmienna|safe%} (która oznacza brak filracji, lub dajemy samo {%zmienna%} - która jest automatycznie filtrowana Mon, 07 Mar 2011 17:57:28 +0100 https://archive.mroczna-zaloga.org/archives/899-guid.html#c3614