Нужно ли обрабатывать исключения если данные прилетают из сессии?

Question

YuriyCherniy @YuriyCherniy

Django

Нужно ли обрабатывать исключения если данные прилетают из сессии?

Имею вот такой код во вьюхе:

def test_func(self):
    folder_pk = self.request.session['folder_pk']
    user = Folder.objects.get(pk=folder_pk).user
    return self.request.user == user

Если злоумышленник подделает данные из сессии, то на строке user = Folder.objects.get(pk=folder_pk).user приложение может упасть. Нужно ли обрабатывать такую ситуацию или если у постароннего есть доступ к сессии уже не важно упадёт приложение или нет и решать проблему нужно с другой стороны?

Вопрос задан более трёх лет назад
62 просмотра

Комментировать

Подписаться 1 Простой Комментировать

Решения вопроса 1

9 комментариев

YuriyCherniy @YuriyCherniy Автор вопроса

Могу я ваш ответ расценивать как "нет"?

Написано более трёх лет назад
dooMoob @dooMoob

YuriyCherniy, Без раскрытия процесса попадания folder_pk в сессию не могу сказать тоно. Вдруг вы это на уровне мидлвари с какой-нибудь квери строки запроса записываете

Написано более трёх лет назад

YuriyCherniy @YuriyCherniy Автор вопроса

Попадает вот так:

def get(self, request, **kwargs):
        """
        Add key 'folder_pk' to session dictionary to
        pass to the LinkToArchive view for handling
        in reverse function
        """
        request.session['folder_pk'] = kwargs['pk']
        return super().get(request, **kwargs)

Написано более трёх лет назад

dooMoob @dooMoob

Мне кажется, что это неправильный подход .

Но в таком случае да, надо

Написано более трёх лет назад
YuriyCherniy @YuriyCherniy Автор вопроса

dooMoob, спасибо за ответы. И если не затруднит, скажите, в чём проблема моего кода?

Написано более трёх лет назад
dooMoob @dooMoob

YuriyCherniy, Ну мне просто не понятен смысл записи в сессию этой переменной. Для этого мне нужно увидеть
1) как она туда попадает(целиком)
2) почему она туда попадает
3) где использутеся и с какой целью

Написано более трёх лет назад

YuriyCherniy @YuriyCherniy Автор вопроса

dooMoob, я пишу приложение для хранения ссылок в виде закладок. Ссылки хранятся в папках по категориям. Есть представление, которое отвечает за редактирование названия папки и отображает список закладок хранящихся в папке:

class FolderUpdate(LoginRequiredMixin, UserPassesTestMixin, UpdateView):
    """
    This class is responsible for updating folder's name
    and also showing links it contains. Additional data
    is prepared in the get_context_data method.
    """
    model = Folder
    fields = ['title']
    template_name = 'folders/folder_update_form.html'
    raise_exception = True

    def get(self, request, **kwargs):
        """
        Add key 'folder_pk' to session dictionary to
        pass to the LinkToArchive view for handling
        in reverse function
        """
        request.session['folder_pk'] = kwargs['pk']
        return super().get(request, **kwargs)

    def post(self, request, pk):
        messages.info(request, 'Папка переименнована')
        return super().post(request, pk)

    def test_func(self):
        obj = self.get_object()
        return obj.linky_user_id == self.request.user.pk

    def get_context_data(self):
        """
        Add link objects to context for showing
        in folder_update_form.html template
        """
        links = self.object.link_set.filter(is_archived=False)
        context = super().get_context_data()
        context['links'] = links
        return context

    def get_success_url(self):
        return reverse('folder_update', args=[self.kwargs['pk']])

Получившийся шаблон обрабатывает представление, которое отправляет выбранные ссылки в архив и снова редиректит на FolderUpdate. Вот это представление:

class LinkToArchive(LoginRequiredMixin, UserPassesTestMixin, View):
    """
    This view gets all links from a particular folder by
    'folder_pk' session key passed from FolderUpdate view,
    validate checkbox data from 'folder_update_form.html' page,
    send links to archive and redirect to FolderUpdate view
    """
    raise_exception = True

    def post(self, request):
        folder_pk = request.session['folder_pk']
        link_qs = Link.objects.filter(folder_id=folder_pk)
        form = LinkCheckBoxForm(link_qs, request.POST)
        if form.is_valid():
            send_link_to_archive(form.cleaned_data)
            messages.info(request, 'Отправленно в архив')
        else:
            messages.warning(request, 'Что-то пошло не так')
        return redirect(
            reverse('folder_update', args=[folder_pk])
        )

    def test_func(self):
        folder_pk = self.request.session['folder_pk']
        user = Folder.objects.get(pk=folder_pk).linky_user
        return self.request.user == user

После редиректа представление FolderUpdate должно работать с той же папкой которую обрабатывало представление LinkToArchive. Вот для этого я и передаю folder_pk в сессии. Возможно непонятно объяснил, но может комментарии в коде помогу. В любом случае спасибо за потраченное на меня время.

Написано более трёх лет назад

dooMoob @dooMoob

Вопрос в том, почему LinkToArchive не получает этот folder_pk напрямую, а вынужден работать через сессию.
В теории ведь можно вызвать LinkToArchive, не вызывая FolderUpdate, и получится отсутствие folder_pk в сессии

Написано более трёх лет назад
YuriyCherniy @YuriyCherniy Автор вопроса

dooMoob, я подумаю над этим. Спасибо!

Написано более трёх лет назад