November 24, 2015
Django 1.7.11 memperbaiki masalah kesalahan dan kesalahan kehilangan data di 1.7.10.
date
¶Jika sebuah aplikasi mengizinkan pengguna menentukan bentuk tidak sah untuk tanggal dan melewatkan bentuk ini ke date
filter, sebagai contoh {{ last_updated|date:user_date_format }}
, kemudian seorang pengguna berbahaya dapat mengambil setiap rahasia pengaturan aplikasi dengan menentukan sebuah kunci pengaturan daripada bentuk tanggal sebagai contoh "SECRET_KEY"
daripada "j/m/Y"
.
Untuk memperbaiki ini, fungsi pokok digunakan oleh penyaring cetakan date
, django.utils.formats.get_format()
, sekarang hanya mengizinkan mengakses pengaturan berbentuk date/time.
Mar 30, 2019