November 24, 2015
Django 1.8.7 memperbaiki masalah keamanan dan beberapa kesalahan di 1.8.6.
Tambahannya, versi penjaja Django dari enam, django.utils.six
, telah ditingkatkan ke terbitan terakhir (1.10.0).
date
¶Jika sebuah aplikasi mengizinkan pengguna menentukan bentuk tidak sah untuk tanggal dan melewatkan bentuk ini ke date
filter, sebagai contoh {{ last_updated|date:user_date_format }}
, kemudian seorang pengguna berbahaya dapat mengambil setiap rahasia pengaturan aplikasi dengan menentukan sebuah kunci pengaturan daripada bentuk tanggal sebagai contoh "SECRET_KEY"
daripada "j/m/Y"
.
Untuk memperbaiki ini, fungsi pokok digunakan oleh penyaring cetakan date
, django.utils.formats.get_format()
, sekarang hanya mengizinkan mengakses pengaturan berbentuk date/time.
USE_TZ
adalah False
dan pytz
terpasang.allow_migrate()
menjadi gagal (#25686).Manager
untuk argumen queryset
dari ModelChoiceField
(#25683).migrations
menjadi gagal (#25618).Prefetch
jika to_attr
disetel menjadi ManyToManyField
(#25693).gettext()
sekali lagi mengembalikan bytestring UTF-8 di Python 2 jika masukan adalah sebuah bytestring (#25720).DateRangeField
dan DateTimeRangeField
(#24937).ArrayField
(#25666).Model.refresh_from_db()
memperbaharui dari bidang ForeignKey
dengan on_delete=models.SET_NULL
(#25715).set_FOO_order()
ketika ForeignKey
dari sebuah model dengan order_with_respect_to
mengacu sebuah model dengan primary key OneToOneField
(#25786).PositiveIntegerField
dan PositiveSmallIntegerField
di MySQL menghasilkan di nilai lebih besar dari 4294967295 atau 65535, masing-masing, melewatkan pengesahan dan menjadi diam dipotong oleh basisdata (#25767).Des 02, 2019