質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
Django

DjangoはPythonで書かれた、オープンソースウェブアプリケーションのフレームワークです。複雑なデータベースを扱うウェブサイトを開発する際に必要な労力を減らす為にデザインされました。

Python

Pythonは、コードの読みやすさが特徴的なプログラミング言語の1つです。 強い型付け、動的型付けに対応しており、後方互換性がないバージョン2系とバージョン3系が使用されています。 商用製品の開発にも無料で使用でき、OSだけでなく仮想環境にも対応。Unicodeによる文字列操作をサポートしているため、日本語処理も標準で可能です。

Q&A

0回答

937閲覧

Django Class-Based View内 requestからのログイン中ユーザーの認証について

xes_

総合スコア2

Django

DjangoはPythonで書かれた、オープンソースウェブアプリケーションのフレームワークです。複雑なデータベースを扱うウェブサイトを開発する際に必要な労力を減らす為にデザインされました。

Python

Pythonは、コードの読みやすさが特徴的なプログラミング言語の1つです。 強い型付け、動的型付けに対応しており、後方互換性がないバージョン2系とバージョン3系が使用されています。 商用製品の開発にも無料で使用でき、OSだけでなく仮想環境にも対応。Unicodeによる文字列操作をサポートしているため、日本語処理も標準で可能です。

0グッド

1クリップ

投稿2021/01/31 01:24

現在、Djangoの学習中です。

ユーザーがデータの公開・非公開を選択出来るシステムを作成したいと思っており、is_publicがTrueであれば公開、Falseであれば非公開のモデルを作成しました。また、非公開であっても、自身に関連づけられているデータは表示されるようにしました。

viewで判定をした上で他人のデータを閲覧する際にはクエリにフィルタリングをする予定で、一般的な接続では自身に紐付いたデータしか非公開のデータが閲覧が出来ないことの確認はできましたが、悪意のあるユーザーがrequestデータを書き換えることによって非公開としたデータを閲覧できてしまうのではないかと不安になりました。

クラスベースview内のget_querysetをoverrideする際にself.request.user.pkからログイン中ユーザーのpkを取得することはセキュリティ上問題ありませんでしょうか。

該当のソースコード

python

1# views.py 2 3def get_queryset(self): 4 pk = self.kwargs['pk'] 5 query_set = self.model.objects.filter(user=pk) 6 if self.request.user.pk == pk: 7 pass 8 else: 9 query_set = query_set.filter(is_public=True) 10 return query_set

よろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだ回答がついていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問