我的第一个python web开发框架(15)——公司介绍编辑功能

  完成登录以后,就会进入后台管理系统的主界面,因为这个是小项目,所以导航菜单全部固化在HTML中,不能修改。一般后台还会有一个欢迎页或关键数据展示的主页面,小项目也没有多大的必要,所以登录后直接进入公司介绍编辑页面。

  首先我们来看一下公司介绍页面内容

  

  看上去功能好像很简单,其实我们要处理的东西还是挺多的。

  从页面上看,我们需要有一个记录读取的接口,来获取公司介绍的内容,并展示在页面上。当然现在数据库里面没有记录存在,所以我们还需要向数据库的信息表(infomation)中插入一条公司介绍的记录,这样好直接进行编辑(因为公司介绍不会有很多条记录,一般定了后就不会再改变,所以只需要在数据库的信息表里插入一条就可以了)

  另外,从界面上看,我们还需要有一个上传文件的接口,可以上传图片和文件;还需要一个更新公司介绍内容的接口。

  还有需要修改几个地方,有上传文件,肯定需要有下载的接口,所以需要增加一个下载的路由(python与其他语言不一样的地方是,所有访问都必须通过路由,所以上传的或放在目录中的文件需要统一定义一个接口来处理,不然用户访问不了,虽然有点麻烦,但这样处理也安全很多,用户上传任何含有木马或程序的文件,它也无法在服务器端执行);nginx配置文件也需要修改一下,增加下载路径规则,这样就可以直接通过nginx访问下载路径了。

  向数据库中添加公司介绍记录

  运行pgAdmin连上数据库,然后按第4章的做法,打开sql查询分析器,运行下面代码添加一条数据库记录

INSERT INTO infomation(id, title)  VALUES (1, ‘公司介绍‘);

  添加公司介绍记录读取接口

 1 @get(‘/api/about/‘)
 2 def callback():
 3     """
 4     获取指定记录
 5     """
 6     sql = """select * from infomation where id = 1"""
 7     # 读取记录
 8     result = db_helper.read(sql)
 9     if result:
10         # 直接输出json
11         return web_helper.return_msg(0, ‘成功‘, result[0])
12     else:
13         return web_helper.return_msg(-1, "查询失败")

  因为公司介绍id添加后不会再改变,所以sql语句直接绑死id为1,另外,执行数据库查询以后,返回的是列表,所以返回记录时要加上序号:result[0]

  启动debug(对main.py点击右键=》debug),将用户登录判断那两行注释掉(不然直接访问会返回-404,“您的登录已失效,请重新登录”提示),在浏览器输入:http://127.0.0.1:9090/api/about/就可以看到返回结果(结果的中文字符是unicode编码,需要用站长工具转换一下才可以转为下载效果)

{"msg": "成功", "data": {"content": "", "front_cover_img": "", "id": 1, "title": "公司介绍", "add_time": "2017-10-31 14:17:45"}, "state": 0}

  添加公司介绍内容修改接口

 1 @put(‘/api/about/‘)
 2 def callback():
 3     """
 4     修改记录
 5     """
 6     front_cover_img = web_helper.get_form(‘front_cover_img‘, ‘图片‘)
 7     content = web_helper.get_form(‘content‘, ‘内容‘, is_check_special_char=False)
 8     # 防sql注入攻击处理
 9     content = string_helper.filter_str(content, "‘")
10     # 防xss攻击处理
11     content = string_helper.clear_xss(content)
12
13     # 更新记录
14     sql = """update infomation set front_cover_img=%s, content=%s where id=1"""
15     vars = (front_cover_img, content,)
16     # 写入数据库
17     db_helper.write(sql, vars)
18
19     # 直接输出json
20     return web_helper.return_msg(0, ‘成功‘)

  因为公司介绍只需要一条记录就够了,前面使用手动方式向数据库添加记录,所以代码中我们就不需要写添加的方法

  修改记录使用put方式接收:@put(‘/api/about/‘)

  从界面图片中可以看到,有文章标题、首页图片和文章内容,因为标题不需要进行修改,所以我们修改接口只需要处理剩下两项就可以了。

  因为提交的内容含有HTML代码,所以使用web_helper.get_form提取值时,需要使用is_check_special_char参数,设置为不检查特殊符号,不然会接收不了。另外接收到参数值以后,我们需要对它进行防sql注入和防xss处理。

  clear_xss()函数是string_helper包新增的清除xss攻击标签用的,它会过滤掉xss的攻击代码。详细代码如下:

def clear_xss(html):
    """
    清除xss攻击标签
    :param html: 要处理的html
    :return:
    """
    tags = [‘a‘, ‘abbr‘, ‘acronym‘, ‘b‘, ‘blockquote‘, ‘code‘, ‘em‘, ‘i‘, ‘li‘, ‘ol‘, ‘strong‘, ‘ul‘]
    tags.extend(
        [‘div‘, ‘p‘, ‘hr‘, ‘br‘, ‘pre‘, ‘code‘, ‘span‘, ‘h1‘, ‘h2‘, ‘h3‘, ‘h4‘, ‘h5‘, ‘del‘, ‘dl‘, ‘img‘, ‘sub‘, ‘sup‘, ‘u‘,
         ‘table‘, ‘thead‘, ‘tr‘, ‘th‘, ‘td‘, ‘tbody‘, ‘dd‘, ‘caption‘, ‘blockquote‘, ‘section‘])
    attributes = {‘*‘: [‘class‘, ‘id‘], ‘a‘: [‘href‘, ‘title‘, ‘target‘], ‘img‘: [‘src‘, ‘style‘, ‘width‘, ‘height‘]}
    return bleach.linkify(bleach.clean(html, tags=tags, attributes=attributes))

  clear_xss()函数中我们使用了bleach这个库(需要安装:pip install bleach),它是一个基于白名单、通过转义或去除标签和属性的方式,来对HTML文本净化的python库。

  我们在string_helper_test.py这个测试单元中添加一个测试用例,来测试一下这个函数的使用效果

    def test_clear_xss(self):
        print(‘-----test_clear_xss------‘)
        print(string_helper.clear_xss(‘<script src="javascript:alert(1);">abc</script>‘))
        print(string_helper.clear_xss(‘<iframe src="javascript:alert(1);">abc</iframe>‘))
        print(string_helper.clear_xss(‘<div style="width:0;height:0;background:url(javascript:document.body.onload = function(){alert(/XSS/);};">div</div>‘))
        print(string_helper.clear_xss(‘<img src = "#"/**/onerror = alert(/XSS/)>‘))
        print(string_helper.clear_xss(‘<img src = j ava script:al er t(/XSS/)>‘))
        print(string_helper.clear_xss("""<img src = j
ava script :a ler t(/xss/)>"""))
        print(string_helper.clear_xss(‘<img src="javacript:alert(\‘abc\‘)"></img>‘))
        print(string_helper.clear_xss(‘<img src="https://www.baidu.com/img/baidu_jgylogo3.gif"></img>‘))
        print(string_helper.clear_xss(‘<p src="javascript:alert(1);">abc</p>‘))
        print(string_helper.clear_xss("""<input type="text" value="琅琊榜" onclick="javascript:alert(‘handsome boy‘)">"""))
        print(string_helper.clear_xss(‘<p onclick="javascript:alert("handsome boy")>abc</p>‘))
        print(string_helper.clear_xss(‘<a href="javascript:alert(1);">abc</a>‘))
        print(string_helper.clear_xss(‘<a href="/api/">abc</a>‘))
        print(string_helper.clear_xss(‘<a href="http://www.baidu.com">abc</a>‘))
        print(string_helper.clear_xss(‘<marquee onstart="alert(/XSS/)">文字</marquee>‘))
        print(string_helper.clear_xss(‘<div style="" onmouseenter="alert(/XSS/)">文字</div>‘))
        print(string_helper.clear_xss(‘<li style = "TEST:e-xpression(alert(/XSS/))"></li>‘))
        print(string_helper.clear_xss(‘<input id = 1 type = "text" value="" <script>alert(/XSS/)</script>"/>‘))
        print(string_helper.clear_xss(‘<base href="http://www.labsecurity.org"/>‘))
        print(string_helper.clear_xss(‘<div id="x">alert%28document.cookie%29%3B</div>‘))
        print(string_helper.clear_xss(‘<limited_xss_point>eval(unescape(x.innerHTML));</limited_xss_point>‘))

  执行后输出结果:

------ini------
-----test_clear_xss------
&lt;script src="javascript:alert(1);"&gt;abc&lt;/script&gt;
&lt;iframe src="javascript:alert(1);"&gt;abc&lt;/iframe&gt;
<div>div</div>
<img src="#">
<img src="j">
<img src="j">
<img>
<img src="https://www.baidu.com/img/baidu_jgylogo3.gif">
<p>abc</p>
&lt;input onclick="javascript:alert(‘handsome boy‘)" type="text" value="琅琊榜"&gt;
<p>abc</p>
<a>abc</a>
<a href="/api/" rel="nofollow">abc</a>
<a href="http://www.baidu.com" rel="nofollow">abc</a>
&lt;marquee onstart="alert(/XSS/)"&gt;文字&lt;/marquee&gt;
<div>文字</div>
<li></li>
&lt;input &lt;script="" id="1" type="text" value=""&gt;alert(/XSS/)"/&gt;
&lt;base href="<a href="http://www.labsecurity.org" rel="nofollow">http://www.labsecurity.org</a>"&gt;
<div id="x">alert%28document.cookie%29%3B</div>
&lt;limited_xss_point&gt;eval(unescape(x.innerHTML));&lt;/limited_xss_point&gt;
------clear------

  可以看到,对于富文本编辑器提交的代码,bleach基本满足了我们的防范xss攻击的处理需求

  添加上传接口(PS:我们使用的文本编辑器是百度的ueditor,因为它没有python的上传处理代码,所以我们需要动手编辑上传接口,以及html上也要进行对应的修改)

#!/usr/bin/evn python
# coding=utf-8

import os
from bottle import post, request
from common import datetime_helper, random_helper, log_helper

@post(‘/api/files/‘)
def callback():
    """
    修改记录
    """
    # 初始化输出值
    result = {
        "state": "FAIL",
        "url": "",
        "title": "上传失败",
        "original": ""
    }
    # 获取上传文件
    try:
        # upfile为前端HTML上传控件名称
        upload = request.files.get(‘upfile‘)
        # 如果没有读取到上传文件或上传文件的方式不正确,则返回上传失败状态
        if not upload:
            return result

        # 取出文件的名字和后缀
        name, ext = os.path.splitext(upload.filename)
        # 给上传的文件重命名,默认上传的是图片
        if ext and ext != ‘‘:
            file_name = datetime_helper.to_number() + random_helper.get_string(5) + ext
        else:
            file_name = datetime_helper.to_number() + random_helper.get_string(5) + ‘.jpg‘
        upload.filename = file_name

        # 设置文件存储的相对路径
        filepath = ‘/upload/‘ + datetime_helper.to_number(‘%Y%m%d‘) + ‘/‘
        # 组合成服务器端存储绝对路径
        upload_path = os.getcwd() + filepath
        # 如果目录不存在,则创建目录
        if not os.path.exists(upload_path):
            os.mkdir(upload_path)
        # 保存文件
        upload.save(upload_path + upload.filename, overwrite=True)

        # 设置输出参数(返回相对路径给客户端)
        result[‘title‘] = result[‘original‘] = upload.filename
        result[‘url‘] = filepath + upload.filename
        result[‘state‘] = ‘SUCCESS‘
    except Exception as e:
        log_helper.error(‘上传失败:‘ + str(e.args))

    # 直接输出json
    return result

  PS:这里只做了上传文件处理,没有上传成功以后存储到数据库中统一管理,如果前端反复上传,会造成服务器存储很多多余文件的问题,大家可以自己发挥想象与动手能力,看看怎么解决这个问题。对于这个问题会在第二部分统一处理。

  添加上传文件存储文件夹:直接在项目的要目录下创建upload文件夹

  

  修改main.py文件配置,并创建文件下载路由

  导入的bottle库添加response, static_file这两个包,response用于设置输出文件类型为二进制数据传输格式,这样设置后,上传的各种类型文件都可以下载;static_file是使用安全的方式读取文件并输出到客户端

from bottle import default_app, get, run, request, hook, route, response, static_file

  在第26行插入下面代码,初始化上传文件存储路径

# 定义upload为上传文件存储路径
upload_path = os.path.join(program_path, ‘upload‘)

  添加下载文件访问路由,设置后只要放在upload目录下的文件都可以直接通过浏览器下载

@get(‘/upload/<filepath:path>‘)
def upload_static(filepath):
    """设置静态内容路由"""
    response.add_header(‘Content-Type‘, ‘application/octet-stream‘)
    return static_file(filepath, root=upload_path)

  做完以上设置,上传与更新就没有问题了,上传的图片直接使用http://127.0.0.1:9090/upload/xxx.jpg方式就可以访问了,如果想要使用81端口,也就是通过nginx访问,那就需要再配置一下

  打开nginx配置文件 :E:\Service\nginx-1.11.5\conf\nginx.conf

  将location ~* ^/(index|api)/ 修改为 location ~* ^/(index|api|upload)/

  然后在windows任务管理器(键盘同时按Ctrl+Alt+Del键,点击启动任务管理器),找到nginx_service.exe,右键=》结束进程树

  重新打开服务(控制面板=》所有控制面板项=》管理工具=》服务),启动nginx_service服务

  前端页面相关修改

  向/lib/ueditor/1.4.3/目录中添加python文件夹,将添加config.json这个配置项

  修改/lib/ueditor/1.4.3/ueditor.config.js 配置项中 服务器统一请求接口路径 为 /api/files/

  本文对应的源码包里有ueditor编辑器最新代码(刚刚去百度下载的),去掉了多余的文件,大家可直接删除lib目录里的ueditor这个文件夹,使用源码包里的替换上去就可以了

  前端页面的javascript脚本添加了ueditor编辑器初始化、文件上传和表单提交等功能,可直接替换about_edit.html文件,具体大家自己研究一下。

  最终效果:

  

    

  另外,联系我们的功能与公司介绍差不多,在这里留一下作业给大家自己尝试做一个联系我们编辑页面出来,下一篇会给联系我们编辑页面源码给大家

  本文对应的源码下载

作者:AllEmpty
出处:http://www.cnblogs.com/EmptyFS/
有兴趣的朋友可以加加python开发QQ群:669058475 ,大家一起探讨。大家有问题的话可以在群里发问,当然我平时工作也非常繁忙不一定会及时回复。

本文为AllEmpty原创,欢迎转载,但未经同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

时间: 2024-10-09 15:19:37

我的第一个python web开发框架(15)——公司介绍编辑功能的相关文章

我的第一个python web开发框架(3)——怎么开始?

小白与小美公司经过几次接触商谈,好不容易将外包签订了下来,准备开始大干一场.不过小白由于没有太多的项目经验,学过python懂得python的基本语法,在公司跟着大家做过简单功能,另外还会一些HTML和Jquery,对数据库一知半解,看来要完成这个项目也不是一件容易的事情.想到这些小白顿时头都大了起来,想要开干却无从下手,所以只能找对自己挺照顾的部门老大请教一下. 人物介绍:老菜,部门老大,IT老民工,有着十多年开发经验的码农,做过各种项目,开发经验十分丰富,是个热心助人的老好人. 小白:老大救

我的第一个python web开发框架(2)——一个简单的小外包

第一部分说明 第一部分大概有20来章,主要讲的是一些开发常识.开发前中后期准备内容.开发环境与服务器部署环境安装设置.python基础框架结构与功能等内容,代码会比较简单. 本系列会以故事的方式,向大家描述一位有点开发基础的程序猿,怎么将一个小系统,根据需求的增加,以及对技术的追求,慢慢的通过重构,在解决各种技术难题的过程中,完善自己的架构,开发出一个功能比较完善的开发框架.代码开始会写的比较简单.入门级的,然后会根据需求慢慢重构成有体系的框架. 主人公:小白——计算机专业刚毕业的程序猿,有点内

我的第一个python web开发框架(16)——产品分类管理

产品分类管理的html页面之前忘记做了,这次附件里补上. 好了先上图 从页面效果图来看,我们需要开发列表获取接口.添加接口.单条记录获取接口.编辑接口和删除接口 对于产品分类列表,我们将使用jqgrid前端表格框架,jqgrid与接口交互时,它会提交页面索引.页面大小.排序字段名以及顺序还是倒序排序这几个参数,而返回的结果也有格式约束. 返回格式要求: { 'records': 0, 'total': 0, 'page': 1, 'rows': [], } 产品分类列表获取接口 1 @get('

我的第一个python web开发框架(19)——产品发布相关事项

好不容易小白将系统开发完成,对于发布到服务器端并没有什么经验,于是在下班后又找到老菜. 小白:老大,不好意思又要麻烦你了,项目已经弄完,但要发布上线我还一头雾水,有空帮我讲解一下吗? 老菜:嗯,系统上线并不一件简单的事情,它可大可小.如果准备不充分,有可能会很多问题出现.你认为写好代码后要怎么发布? 小白:呃,完成开发后,上传到服务器,然后浏览器可以正常访问... 老菜:看来得普及一下上线的相关知识才行. 正规的产品上线一般可以按下面几个步骤来进行: 1. 开发人员自测(开发环境) 2. 测试人

全面解读Python Web开发框架Django

全面解读Python Web开发框架Django Django是一个开源的Web应用框架,由Python写成.采用MVC的软件设计模式,主要目标是使得开发复杂的.数据库驱动的网站变得简单.Django注重组件的重用性和“可插拔性”,敏捷开发和DRY法则(Don’t Repeat Yoursef). 花了两周时间,利用工作间隙时间,开发了一个基于Django的项目任务管理Web应用.项目计划的实时动态,可以方便地被项目成员查看(^_^又 重复发明轮子了).从前台到后台,好好折腾了一把,用到:HTM

Python Web开发框架Django

文章地址:http://game-lab.org/?p=357 花了两周时间,利用工作间隙时间,开发了一个基于Django的项目任务管理Web应用.项目计划的实时动态,可以方便地被项目成员查看(^_^又重复发明轮子了).从前台到后台,好好折腾了一把,用到:HTML.CSS.JavaScript.Apache.Python.mod_wsgi.Django.好久不用CSS和JavaScript了,感到有点生疏了,查了无数次手册.后台Django开发环境的搭建也花了不少时间和精力.记录下来,免得以后走

Python Web开发框架

Django Django 应该是最出名的Python框架,GAE甚至Erlang都有框架受它影响.Django是走大而全的方向,它最出名的是其全自动化的管理后台:只需要使用起ORM,做简单的对象定义,它就能自动生成数据库结构.以及全功能的管理后台. Flask Flask是一个使用Python编写的轻量级Web应用框架.基于Werkzeug WSGI工具箱和Jinja2 模板引擎.Flask也被称为“microframework”,因为它使用简单的核心,用extension增加其他功能.Fla

《Python入门》第一个Python Web程序——简单的Web服务器

上一篇讲了<Python入门>Windows 7下Python Web开发环境搭建笔记,接下来讲一下Python语言Web服务的具体实现:第一个Python Web程序--简单的Web服务器. 与其它Web后端语言不同,Python语言需要自己编写Web服务器. 如果你使用一些现有的框架的话,可以省略这一步: 如果你使用Python CGI编程的话,也可以省略这一步: 用Python建立最简单的web服务器 利用Python自带的包可以建立简单的web服务器.在DOS里cd到准备做服务器根目录

Python web开发框架好的有哪些

Python编程语言是当代IT界中最流行.简单.易学.和最高效的编程语言之一.其中Python中包含足够多的免费数据函数库.免费的Web网页模板系统.还有与Web服务 器进行交互的库.这些都可以设计到你的Web应用程序里面.能帮助我们快速启动web应用,下面来具体看看这10个最佳Python框架. 1.CubicWeb CubicWeb的最重要的功能是其代码的可重用性,由一个个代码单元组成.它灵活又强大,并且还有一些特别的功能,包括RQL查询语言和支持有效编码的语义视图功能.这是语义Web应用程