Django形式插入當我想要更新

Question

我是新來的Django，但我似乎有幾乎相同的代碼在另一個網站上工作。我可以更新Django shell中的記錄，但是在view.py中，當我運行此表單時，相同的代碼堅持插入新記錄。

• 我在模型中有一個「DisciplineEvent」對象。我讓Django爲主鍵創建「id」字段。我可以看到使用MySQL中的auto_increment創建了「id」int列
• DisciplineEventEntryForm形式是從「DisciplineEvent」模型對象創建的。
• 要編輯一條記錄，填入表單並將pk放入名爲「id」的隱藏字段中，該字段似乎與POST數據一起提交。

所以view.py的相關部分是這樣的：

if request.method == 'POST': 
    incidentId = request.POST['id'] 
    editedEvent = DisciplineEvent.objects.get(pk=int(incidentId)) 
    form = DisciplineEventEntryForm(request.POST, instance=editedEvent) 
    form.save() 
    variables = Context({ 
     'account': account, 
     'date': request.POST['event_date'], 
     'description': request.POST['incident_description'], 
     'incident_id':incidentId, 
     }) 
    template = get_template('disciplineform_confirm_entry.html') 
    output = template.render(variables) 
    response = HttpResponse(output) 
    return response 

我認爲這將拉動記錄有問題，新形式的數據保存到它，並更新記錄。相反，它會創建一個包含所有數據和遞增主鍵的新記錄。

Answer 1

你要做的是非常規的和可能的安全漏洞。

您不應該從窗體中填充的隱藏ID密鑰中獲取對象的實例。用戶可以輕鬆地更改這一個，並讓您的代碼覆蓋他們可能甚至沒有權限的其他模型實例。

執行此操作的標準方法是根據url獲取對象。

def view_function(request,id): 
    object_to_edit = get_object_or_404(Model,id=id) #Or slug=slug 
    form = ModelForm(data = request.POST or None, instance=object_to_edit) 
    if form.is_valid(): 
     form.save() 
     redirect() 
    return render_to_response('template_name',{},RequestContext(request)) 

希望它有幫助！