это переопределение декоратора @user_requier

@login_required* да нет, почему сразу переопределение. login_required много чего решает. а у тебя всего лишь редирект будет, если от клиента пришел запрос на редирект

эх

пойду покурю

вон на стековерфлоу готовую мидлварю сделали

http://stackoverflow.com/a/10951158/974317

т.е. если я этот декоратор пропишу во вьюхе- то редирект заработет?

бля, эт не то

зато ты можешь взять ее и шустро допилить под свои нужды, и не надо будет никакие декораторы нахуй нигде ставить с другой стороны, зачем тебе лишняя мидлваря с возможностью переадресации на всех вьюхах

т.е. если я этот декоратор пропишу во вьюхе- то редирект заработет?

ну, эээ, должен просто тут уж ты сам смотри. @login_required одним своим названием говорит, что твой юзер пойдет нахуй, если он не залогинен

а когда залогинится - вернется обратно на /shop/куда-то-там/, откуда пришел, короче

(его туда принесет джанговский декоратор, собственно)

т.е. переадресация, как мне кажется, будет работать ни разу не так, как тебе надо %)

все верно

да сделай ты просто, во вьюхе def my_view(request): # ... if request.method == 'POST': # ... redirect_url = request.POST.get('next') if redirect_url: return redirect(redirect_url) # ... return ... в шаблоне <form method="post" action="/my/view/"> <input type="hidden" name="next" value="{{ request.path }}"> </form> ты говорил, что шаблон с формой на отдельной странице. в смысле, в отдельном шаблоне? (.html файлике) или именно в отдельной вьюхе? если второе, то {{ request.path }} тебя не спасет, он ж будет возвращать текущий путь, к странице с формкой, на которой юзер щас находится

значит его будет бесконечно редиректить

тьфу, не бесконечно конечно, раз POST в любом случае его назад на эту же форму редиректнет тогда :)

Кстати, как должна выглядеть функция next_if_valid во фласке при подобных редиректах?

Или как-то похоже называется, не помню

ну, эта функция должна отсекать все get-аргументы, чтоб осталась чисто ссылка, а потом сравнивать ее со всеми роутами в проекте

если не нашлось - слать нахуй (403 показывать, 404, на главную странцу отправлять, да че угодно)

если нашлось - подчиняться

придумал как еще жощще сделать чат

а что, если в диалоге хранить не время последнего сообщения, а само последнее сообщения по OneToOne?

ну и индексировать тож прокатит?

если нашлось - подчиняться

А чё мешает просто выплюнуть 404 или 403?

ну и не только get-аргументы, ведь там шаблонное форматирование тоже есть ну, типа, /api/users/123/ и /api/users/456/ - это один и тот же роут/вьюха, по факту

А чё мешает просто выплюнуть 404 или 403?

зачем выплевывать 404 или 403, если страница НАШЛАСЬ? ))

(ну и у юзера есть к ней доступ)

Нет, я имею в виду без этой проверки

а как ты это сделаешь?

Запросил хуйню -ушел в 404

@iamigor шо думаешь?

Ну это же будет обычное обращение в роуты

Запросил хуйню -ушел в 404

а, в этом смысле. а если он хакнет твой сайт и будет подставлять в next всем юзерам, например, hot-gay-pre-teen.com?

> Warning: You MUST validate the value of the next parameter. If you do not, your application will be vulnerable to open redirects.

собстна, из документации flask-login

Как хакнет? Если хакнет, то там уже пох на этот текст)

Некст

и вот страничка на овасп

https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet

> Warning: You MUST validate the value of the next parameter. If you do not, your application will be vulnerable to open redirects.

Да я читал и все равно не понял)

Если мы и так телодвижения ограничиваем роутами

https://habrahabr.ru/company/pt/blog/247709/

http://v-resheno.ru/610347-how-to-avoid-open-redirect-vulnerability-and-safely-redirect-on-successful-login

вот просто охуительный пример

http://www.mybank.com/logon?returnUrl=http://www.badsite.com

Мужчины, как поставить библиотеку json для винды?

pip install json?

TemplateDoesNotExist at /polls polls/index.html Template-loader postmortem Django tried loading these templates, in this order: Using engine django: django.template.loaders.app_directories.Loader: /home/pc/py3env/lib/python3.5/site-packages/django/contrib/admin/templates/polls/index.html (Source does not exist) django.template.loaders.app_directories.Loader: /home/pc/py3env/lib/python3.5/site-packages/django/contrib/auth/templates/polls/index.html (Source does not exist) Теперь выдает вот это, после смены названия папки templates на template

@_@

а что, если в диалоге хранить не время последнего сообщения, а само последнее сообщения по OneToOne?

зачем?

ты истроию проебешь

история прригодится

че если у юзера два телефона и планшет?

история прригодится

поч проебу?

а как ты будешь запрашивать предыдущие сообщения в диалоге?

pip install simplejson? ))

а как ты будешь запрашивать предыдущие сообщения в диалоге?

Messages.objects.filter(dialog=%id%, since=%timestamp%) ченить такое

а, я тебя не понял изначально

pip install simplejson? ))

О! пасибули)

О! пасибули)

стоп, а че, под виндой нету из-под коробки библиотеки для работы с json? O_O

просто чтоб выдачу сделать как в ВК мне нужно не просто время последнего сообщения для сортировки диалогов знать, а еще и кто это сообщение отправил

ERROR: S client not available

стоп, а че, под виндой нету из-под коробки библиотеки для работы с json? O_O

Естт

а что, если в диалоге хранить не время последнего сообщения, а само последнее сообщения по OneToOne?

но тогда зачем это хранить в диалоге, когда можно сразу обращаться в таблицу сообщений за последним сообщением?

не надо индексировать тексты сообщений, нахуя

Естт

бля, мне щас зарт пизды вломит за то, что я человека отправил simplejson скачивать

Мужчины, как поставить библиотеку json для винды?

Она работает из коробки: import json

чтоб получать именно диалоги на страницу диалогов, тк запросы будут к ней часто я и не собирался текст индексировать

да сделай ты просто, во вьюхе def my_view(request): # ... if request.method == 'POST': # ... redirect_url = request.POST.get('next') if redirect_url: return redirect(redirect_url) # ... return ... в шаблоне <form method="post" action="/my/view/"> <input type="hidden" name="next" value="{{ request.path }}"> </form> ты говорил, что шаблон с формой на отдельной странице. в смысле, в отдельном шаблоне? (.html файлике) или именно в отдельной вьюхе? если второе, то {{ request.path }} тебя не спасет, он ж будет возвращать текущий путь, к странице с формкой, на которой юзер щас находится

значит вариант делать форму во вьюхе

ща напишу че хочу

а если я её хочу потом в контекст процессор запилить потом?

class ChatDialog(models.Model): created_at = models.DateTimeField() from_user = models.ForeignKey('User',db_index=True, related_name='dialogs_from') to_user = models.ForeignKey('User', db_index=True, related_name='dialogs_to') last_message = models.OneToOneField('ChatMessage', db_index=True)

ща напишу че хочу

во, вроде понял но че мешает сделать так? SELECT user_from, timestamp, message FROM messages WHERE user_to = self.request.user.id GROUP BY user_from ORDER BY timestamp DESC LIMIT 1;

во, вроде понял но че мешает сделать так? SELECT user_from, timestamp, message FROM messages WHERE user_to = self.request.user.id GROUP BY user_from ORDER BY timestamp DESC LIMIT 1;

хочу по минимуму нагружать БД на отдачу диалогов

хотя лол мб просто юзерайди писать

хоть стрингом :D

чтоб оно не бегало за юзером в таблицу

так у тебя и будет по-минимуму нагружаться, че там мой запрос как пример по факту будет че-т типа select timestamp, message from messages where dialog_id in (select id from dialog where user_to = self.request.user.id)

не вижу в этом ниче плохого

снов люди

по timestamp и юзерам есть индексы и по диалогам

завтра еще отпишу

Игорь, спасибо тебе

доброй

хотя, наверное, здесь можно сраться вечно, не зря там кучу нормальных форм придумали

с одной стороны, дублируешь данные с другой стороны, обращаешься к двум таблиццам что там хуйня, что здесь хуйня %)

select timestamp, message from messages where dialog_id in (select id from dialog where user_to = self.request.user.id) or dialog_id in (select id from dialog where user_from = self.request.user.id) - а не так разве будет?

можно ж упростить select timestamp, message from messages where dialog_id in (select id from dialog where self.request.user.id in (user_from, user_to))

но да, ты прав

вот просто охуительный пример

Спасибо, надо теперь подумать как его реализовать. Только сначала проект заново надо написать ибо исходники пошли по пизде :(

Спасибо, надо теперь подумать как его реализовать. Только сначала проект заново надо написать ибо исходники пошли по пизде :(

сочувствую :( бекапь в дропбоксы всякие периодически или на серваки, если есть

или в гитлабчики там всякие, битбакеты

:С

заодно их подтянешь, пригодится рано или поздно