如果表单不知道该字段存在(即,它不在fields
其元类的列表中),那么它将不会在提交的数据中为其查找值。因此,您可以完全安全地保存表单中的数据。
例如,假设我们有以下模型:
from django.db import models
class Person(models.Model):
name = models.CharField(max_length=100)
age = models.PositiveIntegerField(blank=True, null=True)
hobbies = models.CharField(max_length=200, blank=True, null=True)
然后我们可以写一个LimitedCreateForm
只得到名字和爱好而不设置年龄的。出于测试目的,我们可以在视图中使用此表单,该视图将提交的数据和相应的创建人员转储回浏览器以进行调试:
from django.shortcuts import render
from django import forms
from testapp.models import Person
class LimitedCreateForm(forms.ModelForm):
class Meta:
model = Person
fields = ('name', 'hobbies')
def create_limited(request):
submitted = ""
new_user = None
if request.method == 'POST':
submitted = str(request.POST)
form = LimitedCreateForm(request.POST)
if form.is_valid():
new_user = form.save()
else:
form = LimitedCreateForm()
data = {
'form': form,
'submitted': submitted,
'new_user': new_user,
}
return render(request, 'create_limited.html', data)
测试的最后一步是创建一个显示调试数据的模板(来自表单的 POST 数据和创建的相应人员),并创建一个带有年龄字段的“恶意”表单:
<html>
<body>
<h1>
Submitted data:
</h1>
<p>
{{ submitted|default:"Nothing submitted" }}
</p>
<h1>
Created user
</h1>
<p>
Name: {{ new_user.name|default:"Nothing" }}
<br />
Age: {{ new_user.age|default:"Nothing" }}
<br />
Hobbies: {{ new_user.hobbies|default:"Nothing" }}
</p>
<h1>
Form
</h1>
<form method="post">
{% csrf_token %}
Name: <input type="text" name="name" id="id_name">
<br />
Age: <input type="text" name="age" id="id_age">
<br />
Hobbies: <input type="text" name="hobbies" id="id_hobbies">
<br />
<input type="submit" value="Create" />
</form>
</body>
</html>
如果我们然后运行它并提交一些值,我们会得到以下调试输出:
提交数据:
<QueryDict:
{u'age': [u'27'],
u'csrfmiddlewaretoken': [u'ed576dd024e98b4c1f99d29c64052c15'],
u'name': [u'Bruce'],
u'hobbies': [u'Dancing through fields of flowers']}>`
创建用户
Name: Bruce
Age: Nothing
Hobbies: Dancing through fields of flowers
这表明表单忽略了提交的 27 岁,只保存了它被告知的字段。
值得注意的是,如果您指定要排除的字段列表(即,exclude = ('age',)
而不是fields = ('name', 'hobbies')
在表单元类中),情况也是如此。