Débogage des formulaires Django

Évaluer le code de traitement des formulaires Django pour identifier les bugs, les inefficacités et les problèmes de sécurité.

Vous pouvez interroger un modèle directement et tester les résultats renvoyés lors de l'utilisation de différentes valeurs de paramètre en utilisant la console Cloud ou en appelant directement l'API Vertex AI.

Requête forme libre

Examinez le code de traitement des formulaires Django suivant, conçu pour un processus de candidature et d'envoi de tests dans une université. Le code gère la collecte et la validation des informations des candidats, y compris les informations personnelles, les dossiers scolaires et les scores de tests standardisés. Identifiez les bugs, les inefficacités, les risques de sécurité ou les écarts par rapport aux bonnes pratiques Django et aux normes PEP 8.

from django import forms
from django.core.exceptions import ValidationError
from college.models import Application, AcademicRecord, TestScore
from django.utils.translation import gettext_lazy as _
from django.db import transaction

class CollegeApplicationForm(forms.ModelForm):
    class Meta:
        model = Application
        fields = ['first_name', 'last_name', 'email', 'phone_number', 'address', 'birthdate', 'intended_major']

    gpa = forms.DecimalField(max_digits=4, decimal_places=2, min_value=0.0, max_value=4.0)
    sat_score = forms.IntegerField(min_value=400, max_value=1600, required=False)
    act_score = forms.IntegerField(min_value=1, max_value=36, required=False)
    transcript = forms.FileField(required=True)

    def clean(self):
        cleaned_data = super().clean()
        sat_score = cleaned_data.get('sat_score')
        act_score = cleaned_data.get('act_score')

        if not sat_score and not act_score:
            raise ValidationError(_('At least one test score (SAT or ACT) is required.'))

        if cleaned_data.get('emai') and Application.objects.filter(email=cleaned_data.get('email')).exists():
            raise ValidationError(_('An application with this email already exists.'))

        return cleaned_data

    def save(self, commit=True):
        with transaction.atomic():
            application = super().save(commit=False)

            academic_record = AcademicRecord(
                application=application,
                gpa=self.cleaned_data['gpa'],
                transcript=self.cleaned_data['transcript']
            )

            if commit:
                application.save()
                academic_record.save()

            if self.cleaned_data.get('sat_score'):
                TestScore.objects.create(
                    application=application,
                    test_type='SAT',
                    score=self.cleaned_data['sat_score']
                )

            if self.cleaned_data.get('act_score'):
                TestScore.objects.create(
                    application=application,
                    test_type='ACT',
                    score=self.cleaned_data['act_score']
                )

        return application

Réponse

Ce code présente plusieurs problèmes:

1. Non-respect des consignes PEP 8:

  • Emplacement des champs:les champs gpa, sat_score, act_score et transcript sont définis en dehors de la classe Meta. Elles doivent se trouver dans la classe Meta ou être définies en tant que forms.fields distinctes dans la classe, mais pas en tant qu'attributs autonomes.
  • Longueur des lignes:certaines lignes dépassent les 79 caractères recommandés.
  • Nom:emai est une faute de frappe dans la méthode clean.

2. Inefficacités:

  • Requêtes de base de données dans clean:l'appel Application.objects.filter(...) dans la méthode clean est inefficace. Il effectue une requête de base de données pour chaque validation de formulaire. Cette valeur doit être déplacée vers un emplacement plus approprié (par exemple, une fonction de validation personnalisée ou un signal).

3. Bugs:

  • Erreur de frappe dans la méthode clean:cleaned_data.get('emai') doit être cleaned_data.get('email').
  • commit=False manquant dans super().save():bien que la méthode save utilise commit=False pour application, elle est manquante dans l'appel super().save() du bloc with transaction.atomic(). Cela peut entraîner des données incohérentes si une erreur se produit pendant academic_record.save().

4. Risques de sécurité:

  • Gestion de l'importation de fichiers:le champ transcript ne comporte pas de validation et de nettoyage appropriés. Il est essentiel de limiter les types et les tailles de fichiers, et de rechercher des contenus malveillants avant l'enregistrement pour éviter les failles.
  • Aucune validation des entrées:le formulaire ne valide aucune entrée utilisateur, ce qui le rend vulnérable aux attaques de script intersites (XSS) et à d'autres failles d'injection.

5. Bonnes pratiques Django:

  • ModelForms et modèles associés:le formulaire gère les modèles associés (AcademicRecord et TestScore) directement dans la méthode save. Il est généralement préférable d'utiliser des ModelForms distincts pour les modèles associés ou d'exploiter les signaux de Django pour une séparation plus claire des responsabilités.
  • Traitement des erreurs:la méthode save ne comporte pas de traitement des erreurs. Si l'un des appels save échoue, la transaction doit être annulée pour assurer la cohérence des données. Une gestion des erreurs plus robuste est nécessaire.
  • Choix de champs de formulaire:le champ test_type de TestScore est codé en dur sous la forme "SAT" et "ACT". Il est préférable de définir des choix dans le modèle pour le rendre plus facile à gérer et à étendre.

Code amélioré:

from django import forms
from django.core.exceptions import ValidationError
from college.models import Application, AcademicRecord, TestScore
from django.utils.translation import gettext_lazy as _
from django.db import transaction
from django.core.files.storage import default_storage


class CollegeApplicationForm(forms.ModelForm):
    class Meta:
        model = Application
        fields = ['first_name', 'last_name', 'email', 'phone_number', 'address', 'birthdate', 'intended_major']
        widgets = {
            'birthdate': forms.DateInput(attrs={'type': 'date'}),
        }

    gpa = forms.DecimalField(max_digits=4, decimal_places=2, min_value=0.0, max_value=4.0, label="GPA")
    sat_score = forms.IntegerField(min_value=400, max_value=1600, required=False, label="SAT Score")
    act_score = forms.IntegerField(min_value=1, max_value=36, required=False, label="ACT Score")
    transcript = forms.FileField(required=True, label="Transcript")

    def clean_email(self):
        email = self.cleaned_data['email']
        if Application.objects.filter(email=email).exists():
            raise ValidationError(_('An application with this email already exists.'))
        return email

    def clean(self):
        cleaned_data = super().clean()
        sat_score = cleaned_data.get('sat_score')
        act_score = cleaned_data.get('act_score')

        if not sat_score and not act_score:
            raise ValidationError(_('At least one test score (SAT or ACT) is required.'))
        return cleaned_data

    def save(self, commit=True):
        try:
            with transaction.atomic():
                application = super().save(commit=False)
                application.save()  # Save the application first

                AcademicRecord.objects.create(
                    application=application,
                    gpa=self.cleaned_data['gpa'],
                    transcript=self.cleaned_data['transcript']
                )

                if self.cleaned_data.get('sat_score'):
                    TestScore.objects.create(
                        application=application,
                        test_type='SAT',
                        score=self.cleaned_data['sat_score']
                    )

                if self.cleaned_data.get('act_score'):
                    TestScore.objects.create(
                        application=application,
                        test_type='ACT',
                        score=self.cleaned_data['act_score']
                    )
            return application
        except Exception as e:
            # Handle exceptions appropriately, log the error, and potentially raise a more user-friendly exception.
            print(f"Error saving application: {e}")  # Replace with proper logging
            raise ValidationError(_("An error occurred while saving your application. Please try again later."))

Cette version améliorée résout de nombreux problèmes, mais d'autres améliorations sont possibles:

  • Validation du type et de la taille de fichier:ajoutez une validation pour limiter les types et tailles de fichiers pour le champ transcript.
  • Analyse antivirus/logiciels malveillants:intégrez un mécanisme permettant d'analyser les fichiers importés à la recherche de contenu malveillant.
  • Fonctions de validation personnalisées:refactorisez la logique de validation en fonctions distinctes pour une meilleure lisibilité et une meilleure gestion.
  • ModelForms distincts:envisagez d'utiliser des ModelForms distincts pour AcademicRecord et TestScore afin d'améliorer l'organisation.
  • Signaux:utilisez les signaux Django pour une approche plus déconnectée de la gestion de la création de modèles associés.
  • Journalisation appropriée:implémentez une journalisation appropriée pour suivre les erreurs et déboguer les problèmes.

N'oubliez pas de toujours nettoyer soigneusement les entrées utilisateur pour éviter les failles de sécurité. Ce code révisé fournit une base plus robuste et sécurisée, mais d'autres mesures de sécurité sont toujours recommandées.
Modèle : gemini-1.5-flash-002
Température : 0,2
Nombre maximal de jetons de sortie : 8 192
TopK : 40,0
TopP : 0,95