从settings.py中删除数据库访问信息

我在Django站点的settings.py中做的一件事是从/etc文件中加载数据库访问信息。这样，每台机器的访问设置(数据库主机、端口、用户名、密码)都是不同的，并且像密码这样的敏感信息不在我的项目存储库中。您可能希望以类似的方式限制对工作者的访问，即让他们使用不同的用户名连接。

您还可以通过环境变量传递数据库连接信息，甚至只是一个配置文件的键或路径，并在settings.py中处理它。

例如，下面是我如何拉入我的数据库配置文件:

g = {}
dbSetup = {}
execfile(os.environ['DB_CONFIG'], g, dbSetup)
if 'databases' in dbSetup:
    DATABASES = dbSetup['databases']
else:
    DATABASES = {
        'default': {
            'ENGINE': 'django.db.backends.mysql',
            # ...
        }
    }

不用说，你需要确保DB_CONFIG中的文件除了db管理员和Django本身外，其他用户都不能访问。默认情况下，Django应该参考开发人员自己的测试数据库。使用ast模块代替execfile可能还有更好的解决方案，但我还没有研究过。

我做的另一件事是为DB管理任务使用单独的用户。在我的manage.py中，我添加了以下序言:

# Find a database configuration, if there is one, and set it in the environment.
adminDBConfFile = '/etc/django/db_admin.py'
dbConfFile = '/etc/django/db_regular.py'
import sys
import os
def goodFile(path):
    return os.path.isfile(path) and os.access(path, os.R_OK)
if len(sys.argv) >= 2 and sys.argv[1] in ["syncdb", "dbshell", "migrate"] \
    and goodFile(adminDBConfFile):
    os.environ['DB_CONFIG'] = adminDBConfFile
elif goodFile(dbConfFile):
    os.environ['DB_CONFIG'] = dbConfFile

其中/etc/django/db_regular.py中的配置是针对只有SELECT, INSERT, UPDATE, DELETE权限的Django数据库用户，而/etc/django/db_admin.py中的配置是针对拥有CREATE, DROP, INDEX, ALTER, LOCK TABLES权限的用户。(迁移命令来自南方。)这在运行时为我提供了一些保护，防止Django代码弄乱我的模式，并限制了SQL注入攻击可能造成的损害(尽管您仍然应该检查和过滤所有用户输入)。

(摘自我对另一个问题的回答)

刚刚找到这个链接:http://lincolnloop.com/django-best-practices/#table-of-contents -“Django最佳实践”。

从settings.py中删除数据库访问信息

我在Django站点的settings.py中做的一件事是从/etc文件中加载数据库访问信息。这样，每台机器的访问设置(数据库主机、端口、用户名、密码)都是不同的，并且像密码这样的敏感信息不在我的项目存储库中。您可能希望以类似的方式限制对工作者的访问，即让他们使用不同的用户名连接。

您还可以通过环境变量传递数据库连接信息，甚至只是一个配置文件的键或路径，并在settings.py中处理它。

例如，下面是我如何拉入我的数据库配置文件:

g = {}
dbSetup = {}
execfile(os.environ['DB_CONFIG'], g, dbSetup)
if 'databases' in dbSetup:
    DATABASES = dbSetup['databases']
else:
    DATABASES = {
        'default': {
            'ENGINE': 'django.db.backends.mysql',
            # ...
        }
    }

不用说，你需要确保DB_CONFIG中的文件除了db管理员和Django本身外，其他用户都不能访问。默认情况下，Django应该参考开发人员自己的测试数据库。使用ast模块代替execfile可能还有更好的解决方案，但我还没有研究过。

我做的另一件事是为DB管理任务使用单独的用户。在我的manage.py中，我添加了以下序言:

# Find a database configuration, if there is one, and set it in the environment.
adminDBConfFile = '/etc/django/db_admin.py'
dbConfFile = '/etc/django/db_regular.py'
import sys
import os
def goodFile(path):
    return os.path.isfile(path) and os.access(path, os.R_OK)
if len(sys.argv) >= 2 and sys.argv[1] in ["syncdb", "dbshell", "migrate"] \
    and goodFile(adminDBConfFile):
    os.environ['DB_CONFIG'] = adminDBConfFile
elif goodFile(dbConfFile):
    os.environ['DB_CONFIG'] = dbConfFile

其中/etc/django/db_regular.py中的配置是针对只有SELECT, INSERT, UPDATE, DELETE权限的Django数据库用户，而/etc/django/db_admin.py中的配置是针对拥有CREATE, DROP, INDEX, ALTER, LOCK TABLES权限的用户。(迁移命令来自南方。)这在运行时为我提供了一些保护，防止Django代码弄乱我的模式，并限制了SQL注入攻击可能造成的损害(尽管您仍然应该检查和过滤所有用户输入)。

(摘自我对另一个问题的回答)

当你开始设计你的网站时，网页设计应用程序是非常有用的。一旦导入，你可以添加它来生成示例文本:

{% load webdesign %}
{% lorem 5 p %}

在Django 1.2+中使用.exists()，在以前的版本中使用.count()，而不是计算整个queryset来检查是否返回任何结果。

exists()和count()都清除order by子句，并从DB中检索单个整数。然而exists()将总是返回1，而as count可能会返回更高的值，对这些值将手动应用限制。exists()中使用的has_result和count()中使用的get_count的源代码。

因为它们都返回一个整数，所以没有模型实例化，在内存中加载模型属性，也没有大的TextFields在你的DB和应用程序之间传递。

如果你已经计算了查询，.count()计算len(cached_result)， .exists()计算bool(cached_result)

效率不高—例1

books = Books.objects.filter(author__last_name='Brown')
if books:
    # Do something

效率不高——例2

books = Books.objects.filter(author__last_name='Brown')
if len(books):
    # Do something

高效-例1

books = Books.objects.filter(author__last_name='Brown')
if books.count():
    # Do something

高效-例2

books = Books.objects.filter(author__last_name='Brown')
if books.exists():
    # Do something

与Django一起使用Jinja2。

如果你发现Django模板语言有极大的限制(就像我一样!)，那么你不必被它所困。Django很灵活，模板语言与系统的其余部分是松散耦合的，所以只需插入另一种模板语言，并使用它来呈现http响应!

我使用的是Jinja2，它几乎就像一个增强版的django模板语言，它使用相同的语法，并允许你在if语句中使用表达式!不再制作自定义if标记，如if_item_in_list!你可以简单地说%{if item in list %}，或者{% if object。字段< 10%}。

但这还不是全部;它有更多的功能来简化模板创建，我不能在这里一一介绍。