《51 测试天地》七十四 www.51testing.com 后端开发（Django+Rest Framework+MySQL）： Django 负责处理 HTTP 请求和响应，以及 URL 路由的配置。它接收来自前端的 HTTP 请求，并根据 URL 将请求分发给相应的视图函数进行处理。 Rest Framework 是 Django 的扩展，用于快速构建 RESTful API 接口。通过 测试天地》七十四 www.51testing.com 二、搭建流程 2.1 后端搭建流程 安装相关包->创建工程->后端依赖（pipenv）创建虚拟环境->后端服务配置启动->后 端创建子应用->后端 Rest Framework->数据库配置 简要说明： 安装相关包：在开始之前，首先需要安装 Python 和 pip，然后安装 Django 等相关包， 可以使用 pip 命令来安装。 创建工程：使用 项目，例如：django-admin startproject projectname。 后端依赖（pipenv）创建虚拟环境：建议使用 pipenv 来创建和管理虚拟环境，以便 隔离项目的依赖和环境。 后端服务配置启动：在虚拟环境下，通过 Django 的 manage.py 启动服务，例如：python manage.py runserver。 后端创建子应用：根据项目的需要，可以创建多个子应用（app）来管理不同的功能

loads(shellcode) 应对： 绝不对不可信/未认证数据进行unpickle，使用更安全的JSON 或YAML做序列化。必须使用pickle时在沙盒环境执行。 小心 PyYAML 应对： 使用yaml.safe_load，必要时编写自定义 Loader 做更严格的检查。 对不可信来源的序列化检查后操作。 import yaml class ShellExp: def __init__(self, args): system(args) if __name__ == "__main__": payload = "!!python/object/apply:__main__.ShellExp ['/bin/sh']" yaml.load(payload) 小心 服务端模板注入(SSTI) from flask import Flask from flask request, render_template_string 总结：如何规避代码风险 如何尽量规避风险 1. 默认不相信外部输入，需要进行检查； 2. 内部逻辑也应该做检查，例如购买东西以后余额应该降低而不是升高； 3. 奥卡姆剃刀原则，用能达到目的的最简单的设计、配置，减少缺陷的可 能性； 4. 最小权限原则，仅用恰好够用的权限去执行代码，减少越权漏洞； 5. 定时清理缓存数据，以及非业务代码的固有数据，减少入侵风险； 6. 在发布代码前，使用 Bandit

VoiceReply VideoReply ArticlesReply MusicReply TransferCustomerServiceReply SuccessReply Config 默认配置 API 与其他 Web 框架集成 Django Flask Bottle Tornado 错误页面 定制错误页面 小工具 Token 生成器 贡献指南 贡献代码 Changelog WeRoBot 集成到其他 Web 框架内，请阅读 与其他 Web 框架集成 在独立服务器上部署 使用 werobot.run 来启动 WSGI 服务器 你可以在 werobot.config 中配置好 WeRoBot 需要监听的地址和端口号， 然后 使用 werobot.run 来启动服务器 import werobot robot = werobot.WeRoBot(token='tokenhere') 非守护进程模式下 的——也就是说，一旦你关 闭终端，进程就会自动退出。 我们建议您使用 Supervisor [http://supervisord.org/] 来管理 WeRoBot 的进程。 配置文件样例： [program:wechat_robot] command = python /home/whtsky/robot.py user = whtsky redirect_stderr =

VoiceReply VideoReply ArticlesReply MusicReply TransferCustomerServiceReply SuccessReply Config 默认配置 API 与其他 Web 框架集成 Django Flask Bottle Tornado 错误页面 定制错误页面 小工具 Token 生成器 贡献指南 贡献代码 Changelog WeRoBot 集成到其他 Web 框架内，请阅读 与其他 Web 框架集成 在独立服务器上部署 使用 werobot.run 来启动 WSGI 服务器 你可以在 werobot.config 中配置好 WeRoBot 需要监听的地址和端口号， 然后 使用 werobot.run 来启动服务器 import werobot robot = werobot.WeRoBot(token='tokenhere') 非守护进程模式下 的——也就是说，一旦你关 闭终端，进程就会自动退出。 我们建议您使用 Supervisor [http://supervisord.org/] 来管理 WeRoBot 的进程。 配置文件样例： [program:wechat_robot] command = python /home/whtsky/robot.py user = whtsky redirect_stderr =

TransferCustomerServiceReply SuccessReply Config 默认配置 与其他 Web 框架集成 Django Flask Bottle Tornado 错误页面 定制错误页面 小工具 Token 生成器 贡献指南 贡献代码 API 应用对象 配置对象 Session 对象 log Changelog Version 1.2.0 Version WeRoBot 集成到其他 Web 框架内，请阅读 与其他 Web 框架集成 在独立服务器上部署 使用 werobot.run 来启动 WSGI 服务器 你可以在 werobot.config 中配置好 WeRoBot 需要监听的地址和端口号， 然后 使用 werobot.run 来启动服务器 import werobot robot = werobot.WeRoBot(token='tokenhere') 非守护进程模式下 的——也就是说，一旦你关 闭终端，进程就会自动退出。 我们建议您使用 Supervisor [http://supervisord.org/] 来管理 WeRoBot 的进程。 配置文件样例： [program:wechat_robot] command = python /home/whtsky/robot.py user = whtsky redirect_stderr =

TransferCustomerServiceReply SuccessReply Config 默认配置 与其他 Web 框架集成 Django Flask Bottle Tornado 错误页面 定制错误页面 小工具 Token 生成器 贡献指南 贡献代码 API 应用对象 配置对象 Session 对象 log Changelog Version 1.3.0 Version WeRoBot 集成到其他 Web 框架内，请阅读 与其他 Web 框架集成 在独立服务器上部署 使用 werobot.run 来启动 WSGI 服务器 你可以在 werobot.config 中配置好 WeRoBot 需要监听的地址和端口号， 然后 使用 werobot.run 来启动服务器 import werobot robot = werobot.WeRoBot(token='tokenhere') 非守护进程模式下 的——也就是说，一旦你关 闭终端，进程就会自动退出。 我们建议您使用 Supervisor [http://supervisord.org/] 来管理 WeRoBot 的进程。 配置文件样例： [program:wechat_robot] command = python /home/whtsky/robot.py user = whtsky redirect_stderr =

TransferCustomerServiceReply SuccessReply Config 默认配置 与其他 Web 框架集成 Django Flask Bottle Tornado 错误页面 定制错误页面 小工具 Token 生成器 贡献指南 贡献代码 API 应用对象 配置对象 Session 对象 log Changelog Version 1.4.0 Version WeRoBot 集成到其他 Web 框架内，请阅读 与其他 Web 框架集成 在独立服务器上部署 使用 werobot.run 来启动 WSGI 服务器 你可以在 werobot.config 中配置好 WeRoBot 需要监听的地址和端口号， 然后 使用 werobot.run 来启动服务器 import werobot robot = werobot.WeRoBot(token='tokenhere') 非守护进程模式下 的——也就是说，一旦你关 闭终端，进程就会自动退出。 我们建议您使用 Supervisor [http://supervisord.org/] 来管理 WeRoBot 的进程。 配置文件样例： [program:wechat_robot] command = python /home//robot.py user = redirect_stderr

TransferCustomerServiceReply SuccessReply Config 默认配置 与其他 Web 框架集成 Django Flask Bottle Tornado 错误页面 定制错误页面 小工具 Token 生成器 贡献指南 贡献代码 API 应用对象 配置对象 Session 对象 log Changelog Version 1.6.0 Version WeRoBot 集成到其他 Web 框架内，请阅读 与其他 Web 框架集成 在独立服务器上部署 使用 werobot.run 来启动 WSGI 服务器 你可以在 werobot.config 中配置好 WeRoBot 需要监听的地址和端口号， 然后 使用 werobot.run 来启动服务器 import werobot robot = werobot.WeRoBot(token='tokenhere') 非守护进程模式下 的——也就是说，一旦你关 闭终端，进程就会自动退出。 我们建议您使用 Supervisor [http://supervisord.org/] 来管理 WeRoBot 的进程。 配置文件样例： [program:wechat_robot] command = python /home//robot.py user = redirect_stderr

TransferCustomerServiceReply SuccessReply Config 默认配置 与其他 Web 框架集成 Django Flask Bottle Tornado 错误页面 定制错误页面 小工具 Token 生成器 贡献指南 贡献代码 API 应用对象 配置对象 Session 对象 log Changelog Version 1.5.0 Version WeRoBot 集成到其他 Web 框架内，请阅读 与其他 Web 框架集成 在独立服务器上部署 使用 werobot.run 来启动 WSGI 服务器 你可以在 werobot.config 中配置好 WeRoBot 需要监听的地址和端口号， 然后 使用 werobot.run 来启动服务器 import werobot robot = werobot.WeRoBot(token='tokenhere') 非守护进程模式下 的——也就是说，一旦你关 闭终端，进程就会自动退出。 我们建议您使用 Supervisor [http://supervisord.org/] 来管理 WeRoBot 的进程。 配置文件样例： [program:wechat_robot] command = python /home//robot.py user = redirect_stderr

TransferCustomerServiceReply SuccessReply Config 默认配置 与其他 Web 框架集成 Django Flask Bottle Tornado 错误页面 定制错误页面 小工具 Token 生成器 贡献指南 贡献代码 API 应用对象 配置对象 Session 对象 log Changelog Version 1.6.0 Version WeRoBot 集成到其他 Web 框架内，请阅读 与其他 Web 框架集成 在独立服务器上部署 使用 werobot.run 来启动 WSGI 服务器 你可以在 werobot.config 中配置好 WeRoBot 需要监听的地址和端口号， 然后 使用 werobot.run 来启动服务器 import werobot robot = werobot.WeRoBot(token='tokenhere') 非守护进程模式下 的——也就是说，一旦你关 闭终端，进程就会自动退出。 我们建议您使用 Supervisor [http://supervisord.org/] 来管理 WeRoBot 的进程。 配置文件样例： [program:wechat_robot] command = python /home//robot.py user = redirect_stderr