我有一个编辑表单(模型表单),为此表单我创建了一个网址,如/ contacts / edit // 我的视图是基于方法的视图,并且我将我的模板中的contact_id作为参数传递给该视图。
那就是我在做什么:
def edit_contact(request, contact_id):
is_user_authenticated(request.user.is_authenticated)
contact_person = get_object_or_404(domain.Contact.contacts, pk=contact_id)
if request.method == 'POST':
form = forms.ContactPersonForm(request.POST, instance=contact_person)
if form.is_valid():
form.save()
return HttpResponseRedirect('/contacts/')
但是,只要提供ID,任何用户都可以访问该url,基本上您可以编辑所需的任何人。
我可以再对数据库进行一次查询,以确定某个人是否是编辑联系信息的合适人选,但这是正确的方式吗?对我来说,最佳做法是什么?