You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Vidim, da v projekt.py uvažata podatke za prijavo iz auth.py. Ker želita, da bo aplikacijo lahko uporabil kdorkoli, tam torej uvozita auth_public.py. auth.py seveda uvozita v skriptah, kjer ustvarjata tabele in uvažata podatke. Seveda bo potrebno nastaviti tudi ustrezne pravice - poglejta si pdurcik/Baza-clanstva-RDR#3.
Trenutno imata na repozitoriju mapo View (z veliko začetnico). bottle.py pričakuje, da so predloge v mapi views (male črke), tako da mapo preimenujta, ali pa ustvarita novo z vašimi predlogami.
Velikost črk datotek in map je namreč pomembna na nekaterih sistemih (npr. Linux).
Opažam še, da v SQL/sql.py pripravita datoteko s stavki SQL, pri tem pa naredita to:
text='INSERT INTO uporabnik (id, ime) VALUES ({}, \'{}\');\n'.format(id,ime_uporabnika)
Kljub temu, da se pri izvajanju skripte stavek samo zapiše v datoteko, pa lahko pri izvajanju vseeno pride do napadov SQLinjection (pravzaprav je to pri vstavljanju preko spletnega vmesnika še bolj nevarno, saj ta dejansko omogoča izvedbo več stavkov hkrati). Zato svetujem, da se v skripti neposredno povežeta na bazo s psycopg2 in stavek izvedeta z ustrezno uporabo metode execute, npr.
cur.execute('INSERT INTO uporabnik (id, ime) VALUES (%s, %s);', [id, ime_uporabnika])
V skripti bi bilo smiselno tudi preveriti, ali se je katero uporabniško ime že pojavilo (npr. vzdržujeta množico že dodanih uporabniških imen) in ga v tem primeru ne še enkrat dodati.
The text was updated successfully, but these errors were encountered:
Vidim, da v
projekt.pyuvažata podatke za prijavo izauth.py. Ker želita, da bo aplikacijo lahko uporabil kdorkoli, tam torej uvozitaauth_public.py.auth.pyseveda uvozita v skriptah, kjer ustvarjata tabele in uvažata podatke. Seveda bo potrebno nastaviti tudi ustrezne pravice - poglejta si pdurcik/Baza-clanstva-RDR#3.Trenutno imata na repozitoriju mapo
View(z veliko začetnico).bottle.pypričakuje, da so predloge v mapiviews(male črke), tako da mapo preimenujta, ali pa ustvarita novo z vašimi predlogami.Velikost črk datotek in map je namreč pomembna na nekaterih sistemih (npr. Linux).
Opažam še, da v
SQL/sql.pypripravita datoteko s stavki SQL, pri tem pa naredita to:Recepti/SQL/sql.py
Line 9 in 0586285
Kljub temu, da se pri izvajanju skripte stavek samo zapiše v datoteko, pa lahko pri izvajanju vseeno pride do napadov SQL injection (pravzaprav je to pri vstavljanju preko spletnega vmesnika še bolj nevarno, saj ta dejansko omogoča izvedbo več stavkov hkrati). Zato svetujem, da se v skripti neposredno povežeta na bazo s
psycopg2in stavek izvedeta z ustrezno uporabo metodeexecute, npr.V skripti bi bilo smiselno tudi preveriti, ali se je katero uporabniško ime že pojavilo (npr. vzdržujeta množico že dodanih uporabniških imen) in ga v tem primeru ne še enkrat dodati.
The text was updated successfully, but these errors were encountered: