Django Web框架 v5.2.1

Django框架是Python编程语言驱动的一个开源模型-视图-控制器（MVC）风格的Web应用程序框架。使用 Django，我们在几分钟之内就可以创建高品质、易维护、数据库驱动的应用程序。

Django框架的核心组件有：

1、用于创建模型的对象关系映射

2、为最终用户设计的完美管理界面

3、一流的URL设计

4、设计者友好的模板语言

5、缓存系统

Django框架特点：

1、齐全的功能。自带大量常用工具和框架，可轻松、迅速开发出一一个功能齐全的Web应用。

2、完善的文档。Django已发展十余年，具有广泛的实践案例，同时Django提 供完善的在线文档，Django用户能够更容易地找到问题的解决方案。

3、强大的数据库访问组件。Django自带一个面向对象的、反映数据模型(以Python类的形式定义)与关系型数据库间的映射关系的映射器(ORM)，开发者无须学习SQL语言即可操作数据库。

4、灵活的URL映射。Django提供一个基于正则表达式的URL分发器，开发者可灵活地编写URL。

5、丰富的模板语言。

Django模板语言功能丰富，支持自定义模板标签。Django也支持使用第三方模板系统，如jinja2等 。

6、健全的后台管理系统。Django内置了-一个后台数据管理系统，经简单配置后，再编写少量代码即可使用完整的后台管理功能。

7、完整的错误信息提示。Django提供 了非常完整的错误信息提示和定位功能，可在开发调试过程中快速定位错误或异常。

8、强大的缓存支持。Django内置了一个缓存框架，并提供了多种可选的缓存方式。

9、国际化。Django包含一个国际化系统，Django组件支持多种语言。

世界知名网站如Instagram、国家地理、Pinterest都使用Django开发。对于使用Python建设网站的初学者来说，一旦熟悉了Django的运行逻辑，就可以在非常短的时间内构建一个出色的专业网站。

更新日志

Django 5.1.4 修复了 1 个严重性“高”的安全问题、1 个严重性“中”的安全问题以及 5.1.3 中的多个错误。

CVE-2024-53907： ¶中存在拒绝服务的可能性strip_tags()

strip_tags()评估某些包含大量嵌套不完整 HTML 实体序列的输入会非常慢。该strip_tags()方法用于实现相应的 striptags模板过滤器，因此也存在漏洞。

strip_tags()HTMLParser 现在在引发异常之前有递归调用的上限SuspiciousOperation。

请记住，绝对不保证 strip_tags()HTML 安全的结果。因此，切勿 strip_tags()在不先转义调用结果的情况下将其标记为安全，例如使用 django.utils.html.escape().

CVE-2024-53908：通过Oracle进行潜在的 SQL 注入¶HasKey(lhs, rhs)

django.db.models.fields.json.HasKey如果使用不受信任的数据作为值，则在 Oracle 上直接使用查找会受到 SQL 注入的影响lhs。

has_key通过语法进行查找的应用程序__不受影响。

错误修复¶

修复了在无法确定用户名时未处理createsuperuser导致的 Python 3.13+ 崩溃问题( #35942 )。OSError

Model.refresh_from_db()修复了 Django 5.1 中的一个回归问题，即调用具有延迟字段的实例时关系字段未更新( #35950 )。