Catatan terbitan Django 1.1.3¶
Selamat datang di Django 1.1.3!
Ini adalah terbitan “bugfix” ketiga di deretan Django 1.1, memperbaiki kestabilan dan penampilan dari kode dasar Django 1.1.
Dengan satu pengecualian, Django 1.1.3 merawat kesesuaian kebelakang dengan Django 1.1.2. Itu juga mengandung sejumlah perbaikan dan pembetulan lainnya. Django 1.1.2 adalah peningkatan dianjurkan untuk setiap pengembangan dan penyebaran saat ini menggunakan atau menyasar Django 1.1.
Untuk rincian penuh pada fitur baru, ketidaksesuaian kebelakang, dan fitur diusangkan di cabang 1.1, lihat Catatan terbitan Django 1.1.
Perubahan bertentangan kebelakang¶
Batasan penyaring di antarmuka admin¶
Antarmuka administratif Django, django.contrib.admin
, mendukung penyaringan dari daftar ditampilkan dari obyek-obyek oleh bidang-bidang pada model sesuai, termasuk hubungan lintas tingkat-basisdata. Ini diterapkan dengan melewatkan argumen pencarian di bagian querystring dari URL, dan pilihan pada kelas ModelAfmin mengizinkan pengembang untuk menentukan bidang-bidang atau hubungan khusus yang akan membangkitkan tautan otomatis untuk penyaringan.
Satu riwayat tidak didokumetasi dan fitur -dukungan-tidak resmi telah mampu untuk pengguna dengan pengetahuan cukup dari struktur model dan bentuk dari argumen pencarian ini untuk membuat penyaring baru berguna dengan cepat dengan merubah permintaan deretan karakter.
Bagaimanapun, itu telah ditunjukkan bahwa ini dapat disalahgunakan untuk mendapatkan akses ke informasi diluar dari perizinan pengguna admin; sebagai contoh, seorang penyerang dengan akses ke admin dan pengetahun yang cukup dari struktur model dan hubungan dapat membangun permintaan deretan karakter yang – dengan penggunaan berulang pencarian pernyataan biasa didukung oleh API basisdata Django – membuka informasi sensitif seperti acakan sandi pengguna.
Untuk memperbaiki ini, django.contrib.admin
akan sekarang mensahkan argumen pencarian querystring itu antara menentukan hanya bidang pada model sedang ditampilkan, atau hubungan silang yang telah secara eksplisit didaftar putihkan dengan pengembang aplikasi menggunakan mekanisme sudah ada yang disebutkan ditas. Ini adalah bertentangan kebelakang untuk setiap pengguna bergantung pada kemampuan sebelumnya untuk memasukkan pencarian yang berubah-ubah.