从settings.py中删除数据库访问信息

我在Django站点的settings.py中做的一件事是从/etc文件中加载数据库访问信息。这样，每台机器的访问设置(数据库主机、端口、用户名、密码)都是不同的，并且像密码这样的敏感信息不在我的项目存储库中。您可能希望以类似的方式限制对工作者的访问，即让他们使用不同的用户名连接。

您还可以通过环境变量传递数据库连接信息，甚至只是一个配置文件的键或路径，并在settings.py中处理它。

例如，下面是我如何拉入我的数据库配置文件:

g = {}
dbSetup = {}
execfile(os.environ['DB_CONFIG'], g, dbSetup)
if 'databases' in dbSetup:
    DATABASES = dbSetup['databases']
else:
    DATABASES = {
        'default': {
            'ENGINE': 'django.db.backends.mysql',
            # ...
        }
    }

不用说，你需要确保DB_CONFIG中的文件除了db管理员和Django本身外，其他用户都不能访问。默认情况下，Django应该参考开发人员自己的测试数据库。使用ast模块代替execfile可能还有更好的解决方案，但我还没有研究过。

我做的另一件事是为DB管理任务使用单独的用户。在我的manage.py中，我添加了以下序言:

# Find a database configuration, if there is one, and set it in the environment.
adminDBConfFile = '/etc/django/db_admin.py'
dbConfFile = '/etc/django/db_regular.py'
import sys
import os
def goodFile(path):
    return os.path.isfile(path) and os.access(path, os.R_OK)
if len(sys.argv) >= 2 and sys.argv[1] in ["syncdb", "dbshell", "migrate"] \
    and goodFile(adminDBConfFile):
    os.environ['DB_CONFIG'] = adminDBConfFile
elif goodFile(dbConfFile):
    os.environ['DB_CONFIG'] = dbConfFile

其中/etc/django/db_regular.py中的配置是针对只有SELECT, INSERT, UPDATE, DELETE权限的Django数据库用户，而/etc/django/db_admin.py中的配置是针对拥有CREATE, DROP, INDEX, ALTER, LOCK TABLES权限的用户。(迁移命令来自南方。)这在运行时为我提供了一些保护，防止Django代码弄乱我的模式，并限制了SQL注入攻击可能造成的损害(尽管您仍然应该检查和过滤所有用户输入)。

(摘自我对另一个问题的回答)

当Django和另一个应用程序交换数据时，请求。Raw_post_data是一个好朋友。使用它来接收和自定义处理(比如XML数据)。

文档: http://docs.djangoproject.com/en/dev/ref/request-response/

这是一种非常简单的方法，永远不必在python shell中再次导入另一个模型。

首先，安装IPython(如果您不使用IPython，那么您有什么问题?)接下来，在django项目目录中创建一个python脚本ipythonrc.py，其中包含以下代码:

from django.db.models.loading import get_models 
for m in get_models(): 
     globals()[m.__name__] = m 
#NOTE: if you have two models with the same name you'll only end up with one of them

然后，在你的~/。ipython/ipythonrc文件，将以下代码放在“要加载和执行的Python文件”部分:

execfile /path/to/project/ipythonrc.py

现在，每次启动IPython或运行./manage.py shell时，您都将导入所有模型并准备使用。不需要再导入另一个模型。

您还可以将经常执行的任何其他代码放在ipythonrc.py文件中，以节省时间。

我没有足够的声誉来回复这个问题，但重要的是要注意，如果你打算使用Jinja，它不支持模板块名称中的'-'字符，而Django支持。这给我带来了很多问题，并浪费了很多时间试图追踪它生成的非常模糊的错误消息。

运行一个开发SMTP服务器，它只输出发送给它的任何内容(如果您不想在开发服务器上实际安装SMTP)。

命令行:

python -m smtpd -n -c DebuggingServer localhost:1025

每个人都知道有一个可以使用“manage.py runserver”运行的开发服务器，但是你知道还有一个用于提供静态文件(CSS / JS / IMG)的开发视图吗?

新手总是感到困惑，因为Django没有提供任何提供静态文件的方法。这是因为开发团队认为这是实际Web服务器的工作。

但是在开发时，你可能不想设置Apache + mod_wisi，它很重。然后你只需要在urls.py中添加以下内容:

(r'^site_media/(?P<path>.*)$', 'django.views.static.serve',
        {'document_root': '/path/to/media'}),

您的CSS / JS / IMG将在www.yoursite.com/site_media/上提供。

当然，不要在生产环境中使用它。