Телеграмм чат группы pydjango страница 14680

у тебя нет
в django есть

Стоит их переопределить?

13:58пожаловаться #1

Dan Tyan in Django [ru] #STAY HOME

Vladyslav Babych

Стоит их переопределить?

посмотри чтобы там не было username

14:01пожаловаться #2

Dan Tyan in Django [ru] #STAY HOME

Fred

вопрос пытаюсь побить sql иньекцию но ничего не получаетя c.execute("SELECT * FROM users WHERE rank = '%s';" % rank) как исправить?

а что с ней ?

14:03пожаловаться #3

а что с ней ?

ну кавчку в с sql запросом вставлю в параметр и все могу вытащить все что угодно

14:04пожаловаться #4

https://docs.djangoproject.com/en/3.0/topics/db/sql/

https://docs.djangoproject.com/en/3.0/topics/security/#sql-injection-protection

14:05пожаловаться #5

да че вы мне кидаите эти доки, читал я все равно экранировая нет :С

14:05пожаловаться #6

Dan Tyan in Django [ru] #STAY HOME

Fred

да че вы мне кидаите эти доки, читал я все равно экранировая нет :С

у тебя rank цифровое поле ?

14:06пожаловаться #7

у тебя rank цифровое поле ?

char

14:06пожаловаться #8

не нужно вручную запрос форматировать, кидай параметры через params.

14:06пожаловаться #9

https://docs.djangoproject.com/en/3.0/topics/db/sql/#passing-parameters-into-raw - конкретно

14:07пожаловаться #10

посмотри чтобы там не было username

добавил

    REQUIRED_FIELDS = ('first_name', 'last_name', 'password', 'birth_date')

14:07пожаловаться #11

не работает

14:07пожаловаться #12

Farid Khalikov

не нужно вручную запрос форматировать, кидай параметры через params.

мне нужно в ручную, потому-что sqllite

14:09пожаловаться #13

class MyUserManager(BaseUserManager):
    """
    A custom user manager to deal with emails as unique identifiers for auth
    instead of usernames. The default that's used is "UserManager"
    """
    def _create_user(self, email, password, **extra_fields):
        """
        Creates and saves a User with the given email and password.
        """
        if not email:
            raise ValueError('The Email must be set')
        email = self.normalize_email(email)
        user = self.model(email=email, **extra_fields)
        user.set_password(password)
        user.save()
        return user

    def create_superuser(self, email, password, **extra_fields):
        extra_fields.setdefault('is_staff', True)
        extra_fields.setdefault('is_superuser', True)
        extra_fields.setdefault('is_active', True)

        if extra_fields.get('is_staff') is not True:
            raise ValueError('Superuser must have is_staff=True.')
        if extra_fields.get('is_superuser') is not True:
            raise ValueError('Superuser must have is_superuser=True.')
        return self._create_user(email, password, **extra_fields)

вот юзер менеджер

14:10пожаловаться #14

Fred

мне нужно в ручную, потому-что sqllite

если c - это джанговский курсор, то он так же params принимает.

14:13пожаловаться #15

с sqlite в том числе, только что проверил.

14:14пожаловаться #16

sqlite3 этот курсор юзаю надо сейчас не джанговский заюзат

14:14пожаловаться #17

https://docs.python.org/3/library/sqlite3.html - ?

14:17пожаловаться #18

у него такой пример идёт:

t = ('RHAT',)
c.execute('SELECT * FROM stocks WHERE symbol=?', t)

14:17пожаловаться #19

т.е. ? вместо %s и дальше параметры в аргументах.