Python中关于Django的几个基础问题求助，年末赶工感觉要崩溃了

django这个词怎么读？
目前是在用 Django 1.11 做事情，Python3.6，数据库是 MySQL，python 的数据库连接是 mysqlclient。请问在 Django 里有没有包含简单的防注入措施？
当用户访问某个页面，就要触发服务器上一个 shell 脚本，而且必须是 root 权限，但不需要等待脚本的执行结果。请问用哪种方法实现比较好？

最近赶工，作为一个非专业的，面对任务力不从心，请原谅我做了一回伸手党，感谢各位。

yuanlaile 1楼

1，个人一般习惯读作姜狗
2，直接用 Django 自带的 ORM 模块，日常大部分弱智注入漏洞足够了。
3，消息队列定时任务试试 Celery

bupafengyu 2楼

我无法理解你的问题

nodeper 3楼

姜狗

nodeper 4楼

有一个很出名的电影叫 <<被解救的姜戈>>
他就是 django

songsunli 5楼

django 全套官方组建，不要自己写裸表单，官方组件安全系数很高了，一般人根本攻不破的。

gougou168 6楼

3 建议触发一个 jenkins job

eggper 7楼

请问能不能在 python 和 django 内实现？因为目标是轻量级，简单便于维护。

htzhanglong 8楼

Celery 怕是逃不过去哦，直接把执行脚本的逻辑写在 view 里面的话容易出事

songsunli 9楼

#7 写在 view 里也不太可能,因为用 root 跑,除非用 root 跑 web 才可能

跑一个 jenkins 其实非常简单,当然占的资源不会太少,如果要求资源少的话我觉得可以在 root 跑一个 rpc 的服务(可以用 python 写)供 web 端调用,这样也不太费事

yibo5220 10楼

1 和 2 有人解答了.

3. celery 可以做, 但还有个包 https://github.com/Koed00/django-q 感觉比 celery 上手简单点.

caililin 11楼

其实是可以 sudo 的, 只不过这么做实在是太不安全, 不推荐

https://stackoverflow.com/questions/13045593/using-sudo-with-python-script

nodeper 12楼

1.有
2.Queue

nodeper 13楼

0.粘钩…

caililin 14楼

1.2.两题都有人答了。
3. 说个轻量级的解决方案吧，只要你的 LINUX 稍有点基础就能做到。

比较也容易实现的方法是直接 subprocess.call(‘sudo /absolute/path/your.sh’)
visudo 或 vi /etc/sudoers
django_user_name ALL= (root) NOPASSWD: /absolute/path/your.sh
%django_group ALL=(root) NOPASSWD
这个方式省事但有一定的安全隐患

另一个比较安全的方案是：
可以在由 django 在需执行脚本时创建一个标志文件。
然后由 root 用户创建一个定时任务，用脚本每分钟查询是不是有这个文件，有就执行脚本，删除标志文件。
# crontab -e
/1 * * * * /absolute/path/check.sh

htzhanglong 15楼

1，2 前面已经回答的简明扼要了。
对于第 3 个问题，建议 LZ 你简单介绍下业务需求，根据业务需求来选择实现方式：
举个例子：仅仅是触发 sh，那你触发 jenkins api 去执行 sh 也可行，还安全省事。