Django JSONField过滤_Django、MySQL和JSONField的过滤问题_Django查询集过滤器空JSONField - 腾讯云开发者社区

文章/答案/技术大牛

写文章

Django JSONField，HStoreField SQL注入漏洞

一、前言 Django是一个开放源代码的Web应用框架，由Python写成。采用了MTV的框架模式，即模型M，视图V和模版T。二、漏洞简介 Django 在2019年8月2日进行了安全补丁更新, 修复了4个CVE, 其中包含一个SQL注入漏洞。三、漏洞危害经斗象安全应急响应团队分析，攻击者可以通过精心构造的请求包攻击使用了脆弱版本Django框架的服务器，攻击成功将会导致SQL注入漏洞，泄露网站数据信息。四、影响范围产品 Django 版本 Django 2.2.x < 2.2.4 Django 2.1.x < 2.1.11 Django 1.11.x < 1.11.23 版本 Django 五、漏洞复现暂无六、修复方案 1.升级Django版本到2.2.4，2.1.11，1.11.23 2.WAF中添加拦截SQL攻击的规则七、参考 https://www.djangoproject.com/weblog

3823 0

java jsonfield_@JSONField使用

importorg.springframework.web.bind.annotation.RequestMapping; @Controllerpublic classTestController2 {/*** jsonField 4)我们在Child类属性的set方法上加上@JSONField注解，name来匹配json串中的key： public classChild {privateString childName;privateString childAge;privateString chileFather;publicString getChildName() {returnchildName; } @JSONField(name=” (serialize = false) 在get方法上添加来过滤掉不需要序列化的字段： Child类： packagecom.test.dto;importcom.alibaba.fastjson.annotation.JSONField (name=”child_age”)public voidsetChildAge(String childAge) {this.childAge =childAge; } @JSONField(serialize

4081 0

关闭

年末·限时回馈

热卖云产品年终特惠，2核2G轻量应用服务器7.33元/月起，更多上云必备产品助力您轻松上云

您找到你想要的搜索结果了吗？

是的

没有找到

CVE-2019-14234：Django JSONField SQL注入漏洞复现

而且Django还包含许多功能强大的第三方插件，使得Django具有较强的可扩展性。 Django通常搭配postgresql数据库，而JSONField是该数据库的一种数据类型。该漏洞的出现的原因在于Django中JSONField类的实现，Django的model最本质的作用是生成SQL语句，而在Django通过JSONField生成sql语句时，是通过简单的字符串拼接。通过JSONField类获得KeyTransform类并生成sql语句的位置。 0x04 漏洞利用 ---- 通过对代码的分析，可以知道如果在你的Django中使用了JSONField并且查询的“键名”可控，就可以进行SQL注入访问http://ip:8000/admin 输入用户名

1.5K0 0

django model 条件过滤

Queryset queryset技巧 #1 aggregate models.py from django.db import models class Author(models.Model): name = models.CharField(max_length=300) books = models.ManyToManyField(Book) #1.1 Avg 平均数 >>> from django.db.models import Avg >>> Book.objects.all().aggregate(Avg('price')) {'price__avg': 34.35} #1.2 Sum 求和 >>> from django.db.models >> models.Book.objects.all().aggregate(a=Max('price')) {'a': int('2154.00')} #1.4 Count 计数 >>> from django.db.models aggregate 计算整个queryset的值，相当于count(). annotate 对于 queryset 中的每个值在指定的属性上进行汇总,相当于group_by >>> from django.db.models

2362 0

Django 过滤器

为了页面和数据库中显示一致，需要在页面格式化时间，需要添加{{ dayrecord.p_time|date:"Y-m-d H:i:s" }} 类似的过滤器。过滤器一、形式：小写 {{ name | lower }} 二、串联：先转义文本到HTML，再转换每行到

标签 {{ my_text|escape|linebreaks }} 三、过滤器的参数 (django 扩展). '1', '1:30' F 月份, 长文本格式. 用字符串表示特殊的时间点, 如 'midnight' 和 'noon' (django扩展) '1 a.m.', '1:30 p.m. 这个偏移量对UTC西部时区总是负数,而对UTC东部时区则总是正数 -43200 to 43200 参考推荐： Python 学习入门 —— 时间 django 过滤器、日期格式化参数 python

5033 0

FastJson中@JSONField注解使用FastJson中@JSONField注解使用

FastJson中@JSONField注解使用我们通常使用json格式在服务器之间进行数据传输。这种情况，我们可以使用@JSONField。 @JSONField的作用对象: Field Setter 和 Getter方法注：FastJson在进行操作时，是根据getter和setter的方法进行的，并不是依据Field进行。代码示例： @JSONField(name = "reason_clear_time", format = "yyyy-MM-dd HH:mm:ss.S") public void setReasonClearTime reasonClearTime; } 我们的 POJO 属性字段是reasonClearTime，但是我们需要解析的 json 字符串中的 key 是reason_clear_time，我们通过使用 @JSONField

8473 0

Django JSONField SQL注入漏洞（CVE-2019-14234）分析与影响

0x01 什么是JSONField Django是一个大而全的Web框架，其支持很多数据库引擎，包括Postgresql、Mysql、Oracle、Sqlite3等，但与Django天生为一对儿的数据库莫过于在Django中也支持了Postgresql的数据类型： JSONField ArrayField HStoreField 这三种数据类型因为都是非标量，且都能用JSON来表示，我下文就用JSONField 我们可以很简单地在Django的model中定义JSONField： from django.db import models from django.contrib.postgres.fields import 0x04 Django-Admin SQL注入漏洞我们创建一个Django项目并创建一个model，其中包含一个JSONField字段： class Collection(models.Model): 总的来说，如果你的应用使用了JSONField，且用户可以进入应用的Django-Admin后台，就可以进行SQL注入。

6903 2

Django模板过滤器

一、过滤器概述过滤器是通过管道符号（|）进行使用的，例如：{{ name|length }}，将返回name的长度。过滤器相当于是一个函数，把当前的变量传入到过滤器中，然后过滤器根据自己的功能，再返回相应的值，之后再将结果渲染到页面中格式：{{ var|过滤器 }} 作用: 在变量被显示前修改它二、内置过滤器与标签模板过滤器可以在变量被显示前修改它，过滤器使用管道字符 lower 文档大写转换文本为小写。 __init__.py mytag.py 名字自定义 mytag.py代码如下 from django 注意过滤管道可以被套接，既是说，一个过滤器管道的输出又可以作为下一个管道的输入实例 {{ my_list|first|upper }} # 第一个显示并转化为大写

551 0

fastJson的JSONField注解

——布雷默相信关于FastJson大伙都不陌生今天聊聊fastjson的这个注解@JSONField 首先它可以放到方法上例如我们pojo的getter和setter等其次用的最多的是放到属性上 (ordinal = 3) private String name; @JSONField(ordinal = 1) private Integer age; private (ordinal = 3, name = "studentName") private String name; @JSONField(ordinal = 1) private Integer age; private String job; @JSONField(ordinal = 2) private GenderEnum gender; @ JSONField(format = "yyyy年MM月dd日E") private Date birthday; private String json; } 序列化后结果就是这样

2121 0

Jsonfield注解的使用

检查了一下，是的，，但是呢我的命名问题不大，而且业务都写好了不想改，这时候就用到@JSONField注解了。在每个名字不一样的属性上打上注解，注解里面备注名字，妥了！ ? @JSONField 此注解可以使用在属性上和get/set方法上，具体效果为： @JSONField(name="Age") private int age; @JSONField(name="Age ") private int getAge(){ return this.age; } @JSONField(name="Age") private void setAge(int age){

3K4 1

django rest framework 过滤时间操作

通常我们会用到过滤两个时间段内的一些数据，当我们用django rest framework的时候，他可以根据字段filter_fields进行过滤，但是对于日期来说并不起作用，这个时候就需要我们设置重写中时间区间过滤,排序 1.过滤下载 pip install django-filter 2.下载后注册 INSTALLED_APPS=[‘django_filters’,] 3.导入rest_framework import ModelViewSet class DoctorsViewSet(ModelViewSet): filter_backends = [DjangoFilterBackend] #过滤其他的字段 filter_fields = ('id', 'patient', 'doc_type',) #指向要过滤的类 filter_class = DoctorsFilter 2.排序 #1 ordering=id 正序 ordering_fields = ('id', ) 以上这篇django rest framework 过滤时间操作就是小编分享给大家的全部内容了，希望能给大家一个参考

1K3 0

django_filters实现数据过滤

UserSerializer filter_backends = (DjangoFilterBackend,) filter_class = UserMonthFilter # 指定过滤类 2、过滤类 class RobotFilter(django_filters.FilterSet): # 使用过滤：URL? ='id') machine_id = django_filters.CharFilter(field_name='machine_id') city = django_filters.CharFilter ', lookup_expr='isnull') name = django_filters.CharFilter(lookup_expr='iexact') # iexact表示精确匹配, price = django_filters.NumberFilter(look_expr='exact') #exact表示精确匹配 task_res_state = django_filters.CharFilter

1531 0

FastJson中@JSONField注解使用

经过查看官方文档，发现可以使用@JSONField进行解释，但是并没有详细的使用说明。 @JSONField的作用对象: 1. Field 2. 介绍完@JSONField之后，针对以上场景,给出JAVA代码一、作用Field @JSONField作用在Field时，其name不仅定义了输入key的名称，同时也定义了输出的名称。 ; public class Person { @JSONField(name="name") private String name; @JSONField(name="age") private String age; @JSONField(name="desc") private String desc; public String getName() { return name (name="name") public String getProductName() { return productName; } @JSONField(name="NAME")

1292 0

Django 进阶学习 - 文本框过滤

Django 进阶学习 - 文本框过滤 Posted May 03, 2016 默认情况下django可以对列进行过滤，但大多数是对Relationship列通过list_filter 直接指定field name就可以方便的进行过滤了，但是如果实现文本框输入过滤属性，然后通过按钮触发事件后来过滤只能通过自定义Django filter来实现首先自定义一个filter类 filters.py 默认情况下如果没有 import ListFilter from django.utils.translation import ugettext_lazy as _ class SingleTextInputFilter 自定义filter template admin/textinput_filter.html, 直接放到本项目的template目录即可，千万不要放到django包目录下的admin template 目录，如果你了解django 模版检索的过程优先级，你应该知道我说的意思.

5241 0

django 实现未经登录验证的url过滤

由于需要对未经验证的u人类进行过滤，经过查询django文档，发现提供了middelware（中间件）这个非常不错的方法，写下来和大家分享。 django默认的配置文件中有以下几个： 'django.middleware.common.CommonMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware # print path return HttpResponseRedirect(settings.LOGIN_URL) 这里对代码稍作解释：对url进行过滤的话，需要使用正则匹配，因此这里使用compile来生成正则对象其次需要考虑剔除一些不需要过滤的url，例如登陆url，关于url，index或是default等，这里我将这写url都写到配置settigns 然后我们在progress_request中编写我们的过滤函数，首先判断用户是否登陆 if 'user' not in request.session or not request.session['user

4734 0

使用 django orm 写 exists 条件过滤实例

要用django的orm表达sql的exists子查询，是个比较麻烦的事情，需要做两部来完成 from django.db.models import Exists, OuterRef # 1. 定义一个额外字段 recent_comment=Exists(recent_comments), ).filter(recent_comment=True) # 在条件中通过检查额外字段实现exists子查询过滤 //docs.djangoproject.com/en/2.1/ref/models/expressions/#filtering-on-a-subquery-expression 补充知识：关于使用django Host', to_field=‘nid') aobj = models.ForeignKey(to=‘xxxx.Application', to_field=‘id') 第二步很重要以上这篇使用 django orm 写 exists 条件过滤实例就是小编分享给大家的全部内容了，希望能给大家一个参考。

5572 0

Django Xadmin多对多字段过滤实例

在xadmin中是不能像原生admin那样使用formfield_for_manytomany方法来过滤多对多字段 ? 进入xadmin源码,找到了formfield_for_dbfield这个方法,测试是有用的，可以过滤第一个选项框的值 ? ），代码如下： 2.第二步编写admin.py对User字段进行扩展，代码如下： # -*- coding: UTF-8 -*- from django.contrib import admin from django import forms from TESTAPP.models import test,userProfile from django.contrib.auth.admin import 以上这篇Django Xadmin多对多字段过滤实例就是小编分享给大家的全部内容了，希望能给大家一个参考。

4702 0

Django（32）自定义过滤器

前言虽然DTL给我们内置了许多好用的过滤器。但是有些时候还是不能满足我们的需求。因此Django给我们提供了一个接口，可以让我们自定义过滤器，实现自己的需求。在新建的python文件中，定义过滤器（也就是函数），这个函数的第一个参数永远是被过滤的那个值，并且如果在使用过滤器的时候传递参数，那么还可以定义另外一个参数。但是过滤器最多只能有2个参数。在写完过滤器（函数）后，要使用django.template.Library.filter进行注册。还要把这个过滤器所在的这个app添加到settings.INSTALLED_APS中，不然Django也找不到这个过滤器。在模板中使用load标签加载过滤器所在的python包。可以使用过滤器了。 django.template.Library.filter还可以当作装饰器来使用。如果filter函数没有传递任何参数，那么将会使用这个函数的名字来作为过滤器的名字。

792 0

详解Django自定义过滤器

过滤器与函数 django过滤器的本质是函数,但"函数"太多了,为了显示自己的与众不同,设计者们想了个名字"过滤器"... django有一些内置的过滤器,但和"新手赛车"不多(把字母转成小写,求数组长度过滤器先给出我的一点体会: 在django是MVP的架构,数据模型交给Model,逻辑处理交给View,样式模板交给temPlate,这是公认的合理架构. ,每个文件可以存放多个功能相关的过滤器,使用功能相关的过滤器时,直接导入单个文件就可以一并使用相关功能,不愧是django,框架设计真的很赞! 新建文件 3.在my_filter.py中,先导入头文件,编写过滤器函数(这里偷个懒,直接用python的内置函数做示范),注册过滤器(还是喜欢装饰器); from django.template import > {# 加载过滤器所在的文件,由于templatetags的文件名是固定的,django可以直接找到过滤器文件所在的位置 #} {% load zhao_fillter %} {# 显示列表数据

5257 0

django-模板之过滤器Add（十三）

其他的一些过滤器： first：返回列表的第一个值； last：返回列表的最后一个值； length：返回变量值的长度； linebrakebr：将纯文本中的换行符转换为HTML中的换行符； linenumbers

2842 0

点击加载更多

关注

腾讯云开发者公众号

将获得

10元无门槛代金券

洞察腾讯核心技术

剖析业界实践案例

Django JSONField，HStoreField SQL注入漏洞

java jsonfield_@JSONField使用

年末·限时回馈

CVE-2019-14234：Django JSONField SQL注入漏洞复现

django model 条件过滤

Django 过滤器

FastJson中@JSONField注解使用FastJson中@JSONField注解使用

Django JSONField SQL注入漏洞（CVE-2019-14234）分析与影响

Django模板过滤器

fastJson的JSONField注解

Jsonfield注解的使用

django rest framework 过滤时间操作

django_filters实现数据过滤

FastJson中@JSONField注解使用

Django 进阶学习 - 文本框过滤

django 实现未经登录验证的url过滤

使用 django orm 写 exists 条件过滤实例

Django Xadmin多对多字段过滤实例

Django（32）自定义过滤器

详解Django自定义过滤器

django-模板之过滤器Add（十三）

关注

相关资讯

热门标签

活动推荐

《云安全最佳实践》火热征稿中

Techo Day腾讯技术开放日有奖征集

运营活动

社区

活动

资源

关于

归档

腾讯云开发者

年末·限时回馈

《云安全最佳实践》火热征稿中

Techo Day腾讯技术开放日有奖征集

社区

活动

资源

关于

归档

腾讯云开发者

热门产品

热门推荐

更多推荐