April 11, 2022
Django 3.2.13修复了3.2.12中严重程度“高”的两个安全问题和3.2.4中的回归问题。
QuerySet.annotate()
, aggregate()
,以及 extra()
¶QuerySet.annotate()
, aggregate()
,以及 extra()
方法受到列别名中的SQL注入的影响,使用适当构造的字典,并带有字典扩展,因为 **kwargs
传递给这些方法。
QuerySet.explain(**options)
关于PostgreSQL¶QuerySet.explain()
方法受到选项名称中的SQL注入的影响,该方法使用适当构造的字典并带有字典扩展,因为 **options
争论。
修复了Django 3.2.4中的一个回归,该回归导致自动重新加载程序不再检测到 DIRS
选项中的 TEMPLATES
设置包含空字符串 (#33628 )。
12月 18, 2023