我想知道在数据库中删除某些内容的最佳做法。
当用户想要删除我的数据库中的故障单时,他会点击POST到该URL的链接:
username/tickets/{ticket_id}
POST不再包含会话信息和CSRF令牌。就目前而言,实际删除的故障单的ID是从URL中捕获的。这个可以吗?使用表单在Django中处理POST是很典型的。我是否应该制作一个表格来删除票证,然后在POST机构中包含ticket_id,即使几乎不需要输入卫生设施?我现在正在做的事情被认为是黑客攻击吗?
谢谢 尼克
答案 0 :(得分:1)
HYour问题尤其超出了Django,我猜这只是网上最佳实践和安全问题(无论使用何种框架或语言)。
考虑到你考虑下面的写作,你所做的事情基本上是正确的(并且理智!)。
首先,处理从客户端到服务器端应用程序的数据:
POST可到达的网址(用户是否已登录?您的应用是否知道这些网址?)POST(无GET,PATCH,...)。然后,关于输入卫生。这可以在至少两个层面上处理:
如果您已完成所有设置,我认为您有一个坚实的基础。