fbpx

Regexp в django-userena

172 просмотра
0

Здравствуйте.

В коде предыдущим разработчиком было изменено регулярное выражение для создания нового пользователя:

#Signup
url(r'^(?P<username>.+?)/signup/complete/$',

В не измененной Userena вот такой паттерн Строчка 40:

# Signup
url(r'^(?P<username>[\.\w]+)/signup/complete/$',

Помогите разобраться что же изменилось. Хочу выбросить изменения для более легкого апдейта.


Добавить комментарий

1 Ответы

Python Опубликовано 19.01.2019
0

Стандартный шаблон пропускал только точку, латиницу, цифры и знак подчеркивания в имени пользователя.
Новый шаблон пропускает что угодно, главное, чтобы оканчивалось на /signup/complete/
Например так:

Vasja'); DROP TABLE users;/signup/complete/

Дает ли это действительно возможность инъекции- вряд ли. Скорее всего таким способом хотели не заморачиваться с регулярками в роутере, если нужно было в логине разрешить например кириллицу или собаку.

Добавить комментарий
Напишите свой ответ на данный вопрос.
Scroll Up