web2py框架中的SQLFORM使用详解

"FORM帮-三零卫士工业防火墙系统技术白皮书" 本文主要讨论的是Web2py框架中的表单处理，特别是SQLFORM的使用，以及如何处理隐藏字段和表单安全。Web2py是一个Python编写的开源Web应用框架，强调安全性和易用性。 在Web2py中，SQLFORM是用于创建数据库交互表单的工具。当使用`SQLFORM(hidden=...)`，可以将字典中的项转化为隐藏的INPUT字段。这些隐藏字段在表单提交时不经过`form.accepts(...)`的验证，因为考虑到安全问题，防止用户篡改隐藏字段。若要处理隐藏字段，需要手动将它们从请求对象移动到表单变量中，如`form.vars.a = request.vars.a`。 SQLFORM在处理INSERT、UPDATE和DELETE操作时有不同的行为。如果没有提供记录作为参数，`SQLFORM(db.table)`会创建一个新记录的INSERT表单。如果提供了记录，如`SQLFORM(db.table, record)`, 表单将用于更新该记录，如果设置了`deletable=True`，则会显示删除复选框。如果表单被提交且删除复选框被选中，`form.deleted`会被设置为True。 `display_form()`函数示例展示了如何根据URL参数生成UPDATE或DELETE表单。当指定记录ID时，SQLFORM会根据该ID查找记录并生成对应的表单。通过`form.process().accepted`判断表单是否被接受，处理表单提交后的逻辑。 在UPDATE表单中，预填充当前记录的数据，并显示图片预览。隐藏的INPUT字段"name=id"用于标识要更新的记录，篡改这个字段的值会导致更新操作失败，Web2py会抛出错误提示"用户正在篡改表单"，确保了数据的安全性。 此外，字段可以通过`writable=False`标记来使其在创建表单中不可见，而在更新表单中以只读方式显示。如果同时使用`writable=False`和`readable=False`，字段将完全不显示，包括在更新表单中。 还可以通过设置`ignore_rw=True`来忽略`readable`和`writable`属性，这样所有字段都会在表单中显示，这在管理界面（admin）中是默认行为。 总结起来，Web2py的SQLFORM是构建数据库交互表单的强大工具，提供了灵活的选项来处理不同类型的数据库操作，并注重对隐藏字段和用户输入的安全处理。