需要的前置知识有Python基础和前端老三样基础,以及Linux的基础
全过程我都会用wsl来操作
前置操作 我曾经的日常操作,但是因为太久没操作导致生疏?那不妨好好记录一下
1 2 3 4 5 6 /mnt/f/watchlist$ python3 -m venv env /mnt/f/watchlist$ .env /bin/activate -bash: .env /bin/activate: No such file or directory /mnt/f/watchlist$ . env /bin/activate (env ) /mnt/f/watchlist$ deactivate /mnt/f/watchlist$
python3直接调用内置的venv模块,然后==. env/bin/activate==激活,要退出的话就直接deactivate
我操,我这虚拟环境没自带pip,破防了,还得自己装
OK,装flask的过程中还是遇到了不测,Ubuntu的通病
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 (env ) caochuhan@DESKTOP-B9Q8MAA:/mnt/f/watchlist$ pip install Flask error: externally-managed-environment × This environment is externally managed ╰─> To install Python packages system-wide, try apt install python3-xyz, where xyz is the package you are trying to install. If you wish to install a non-Debian-packaged Python package, create a virtual environment using python3 -m venv path/to/venv. Then use path/to/venv/bin/python and path/to/venv/bin/pip. Make sure you have python3-full installed. If you wish to install a non-Debian packaged Python application, it may be easiest to use pipx install xyz, which will manage a virtual environment for you. Make sure you have pipx installed. See /usr/share/doc/python3.12/README.venv for more information. note: If you believe this is a mistake, please contact your Python installation or OS distribution provider. You can override this, at the risk of breaking your Python installation or OS, by passing --break-system-packages. hint: See PEP 668 for the detailed specification.
没话说,查查怎么解决
最后还是屈服了,使用pipx(很奇怪,难道是我虚拟环境的创建过程有误才导致了这种结果?)
成功解决,接下来我来说一下我的方法
自打ubuntu24面世以来,就有pip install会产生上述报错的问题,但是我很奇怪的是,我明明启用了venv,按道理来说是不会有报错的
果然被做局了
安装系统的 venv 支持
1 2 sudo apt updatesudo apt install python3-full python3-venv
删除旧环境
重建虚拟环境
激活并安装 Flask
1 2 3 source env /bin/activatepython -m pip install --upgrade pip pip install flask
验证
1 2 which pip/mnt/f/watchlist/env/bin/flask
终于解决问题了
helloFlask 简单的引导 1 2 3 4 5 6 7 from flask import Flaskapp=Flask(__name__) @app.route('/' def Hello (): return 'Welcome to my watchlist'
很容易理解,搞web的基本上不用看就能知道是什么意思
然后外面直接==注册==一个处理函数,用于处理某个请求(官方叫做视图函数),其实就是一个请求处理函数注册 ,就是给这个函数戴上一个装饰器帽子。我们使用 app.route() 装饰器来为这个函数绑定对应的 URL,当用户在浏览器访问这个 URL 的时候,就会触发这个函数,获取返回值,并把返回值显示到浏览器窗口
填入 app.route() 装饰器的第一个参数是 URL 规则字符串,这里的 /指的是根地址。http://localhost:5000/。 http://localhost:5000/hello。
管理环境变量 在启动flask的时候,通常是和FLASK_APP,FLASK_DEBUG这两个环境变量打交道,程序名为app.py,所以暂时可以不去动FLASK_APP
这里安装用来自动导入系统环境变量的python-dotenv
1 2 3 4 5 6 7 8 9 10 from flask import Flaskapp=Flask(__name__) @app.route('/' def Hello (): return '<h1>Hello Totoro!</h1><img src="http://helloflask.com/totoro.gif">' @app.route('/home' def home (): return 'zhubi'
自己随意添加处理函数和它的修饰器,这个也很简单,就不多说什么
==url中自定义变量部分==
1 2 3 @app.route('/user/<name>' def user_page (name ): return 'User page'
这里的name就作为了变量,user_page这个函数会处理所有类似”/user/name”的操作那就很自然的有一个想法,把这个变量自然的放在了操作函数中
1 2 3 4 5 from markupsafe import escape@app.route('/user/<name>' def user_page (name ): return f'User: {escape(name)} '
用户输入的数据会包含恶意代码,所以不能直接作为响应返回,需要使用 MarkupSafe(Flask 的依赖之一)提供的 escape() 函数对 name 变量进行转义处理,比如把 < 转换成 <。这样在返回响应时浏览器就不会把它们当做代码执行。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 from flask import Flaskfrom markupsafe import escapeimport osapp=Flask(__name__) @app.route('/' def Hello (): return '<h1>Hello Totoro!</h1><img src="http://helloflask.com/totoro.gif">' @app.route('/home' def home (): return 'zhubi' @app.route('/user/<path:name>' def user_page (name ): return eval (f"f'{name} '" )
攻击payload
1 http://localhost:5000/user/%7B__import__('os' ).popen('cat%20app.py' ).read ()%7D
结果图
1 2 3 @app.route('/user/<path:name>' def user_page (name ): return eval (f"User: {escape(name)} " )
大家也可以去试试,也可以练练计算pin码
修改视图函数名? 视图函数的名字是自由定义的,和 URL 规则无关。和定义其他函数或变量一样,只需要让它表达出所要处理页面的含义即可。
然后就是一个flask的url_for函数来生成url(有空我去看看这个库,指不定有点0day?),然后它接受的第一个参数就是端点值,默认为操作函数的名称
exp
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 from flask import url_forfrom markupsafe import escape@app.route('/' def hello (): return 'Hello' @app.route('/user/<name>' def user_page (name ): return f'User: {escape(name)} ' @app.route('/test' def test_url_for (): print (url_for('hello' )) print (url_for('user_page' , name='greyli' )) print (url_for('user_page' , name='peter' )) print (url_for('test_url_for' )) print (url_for('test_url_for' , num=2 )) return 'Test page'
大概测试一下这个exp
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 127.0.0.1 - - [20/Jun/2025 13:50:24] "GET / HTTP/1.1" 200 - 127.0.0.1 - - [20/Jun/2025 13:50:24] "GET /favicon.ico HTTP/1.1" 404 - 127.0.0.1 - - [20/Jun/2025 13:50:36] "GET /user/eminem HTTP/1.1" 200 - 127.0.0.1 - - [20/Jun/2025 13:50:48] "GET /user/greyli HTTP/1.1" 200 - 127.0.0.1 - - [20/Jun/2025 13:51:11] "GET /user/hello HTTP/1.1" 200 - / /user/greyli /user/peter /test /test?num=2 127.0.0.1 - - [20/Jun/2025 13:51:23] "GET /test HTTP/1.1" 200 - / /user/greyli /user/peter /test /test?num=2 127.0.0.1 - - [20/Jun/2025 13:51:41] "GET /test?num=2 HTTP/1.1" 200 - / /user/greyli /user/peter /test /test?num=2 127.0.0.1 - - [20/Jun/2025 13:51:44] "GET /test?num=2 HTTP/1.1" 200 -
你应该就能知道是什么意思了第一课结束
模板 这次学习的主要是Jinja2模板(fenjing狂喜)
我们把包含变量和运算逻辑的 HTML 或其他格式的文本叫做模板,执行这些变量替换和逻辑计算工作的过程被称为渲染,这个工作由我们这一章要学习使用的模板渲染引擎——Jinja2 来完成。
模板基本语法 教程教的 基本老三样
1 2 3 "{{...}}" 用来标记变量,也可直接输出运算的结果"{%...%}" 用来标记语句,例如if else "{#...#}" 用来写注释
exp
1 2 3 4 5 6 <h1>{{ username }}的个人主页</h1> {% if bio %} <p>{{ bio }}</p> { {% else %} <p>自我介绍为空。</p> {% endif %} {
=={{...}}== 有它自己的用处,可以直接判断有没有 SSTI 注入点
1 2 3 4 {{ 1 + 2 }} {# 输出 3 {{ user.age * 2 }} {# 输出用户年龄乘以 2 {{ 'Hello ' ~ user }} {# 字符串拼接,用 ~ 运算符 {{ list|length }} {# 使用 filter(见下文)求长度
我自学的 做安全的话,仅仅只了解上面的东西是绝对不够用的
过滤器
过滤器(Filter)是对变量进行后处理的函数,以管道符 | 连接在变量或表达式之后
1 {{ variable | filter1(arg1, arg2) | filter2 }}
过滤器可以用内置的,也可以自己定义
1 2 3 4 5 6 7 8 9 10 11 { <ul> {% for name in users |selectattr('enabled' ) |sort(attribute='joined_at' , reverse=True ) |map ('username' ) |list |slice (0 ,5 ) %} <li>{{ name }}</li> {% endfor %} </ul>
和php://filter的那个过滤器有异曲同工之妙,都差不多
测试
测试
功能
defined是否已定义
undefined是否未定义
none是否为 None
even/odd是否为偶数 / 奇数
in是否在序列或映射中
exp
1 2 3 4 5 6 7 {% if user.age is even %} 年龄是偶数 {% endif %} {% if item is not defined %} 该变量不存在 {% endif %}
编写主页模板 接下来像做项目一样一步步来,学习flask的应用逻辑和底层原理
要在templates/index.html做为主页模板,罗列一些信息,这里就直接借鉴教程的内容
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 <!DOCTYPE html > <html lang ="en" > <head > <meta charset ="utf-8" > <title > {{ name }}'s Watchlist</title > </head > <body > <h2 > {{ name }}'s Watchlist</h2 > {# 使用 length 过滤器获取 movies 变量的长度 #} <p > {{ movies|length }} Titles</p > <ul > {% for movie in movies %} {# 迭代 movies 变量 #} <li > {{ movie.title }} - {{ movie.year }}</li > {# 等同于 movie['title'] #} {% endfor %} {# 使用 endfor 标签结束 for 语句 #} </ul > <footer > <small > © 2018 <a href ="http://helloflask.com/book/3" > HelloFlask</a > </small > </footer > </body > </html >
这里也直接介绍了过滤器
https://jinja.palletsprojects.com/en/3.0.x/templates/#builtin-filters
准备虚拟数据 这个很简单,在app.py中定义一下就可以了
1 2 3 4 5 6 7 8 9 10 11 12 13 name = 'Grey Li' movies = [ {'title' : 'My Neighbor Totoro' , 'year' : '1988' }, {'title' : 'Dead Poets Society' , 'year' : '1989' }, {'title' : 'A Perfect World' , 'year' : '1993' }, {'title' : 'Leon' , 'year' : '1994' }, {'title' : 'Mahjong' , 'year' : '1996' }, {'title' : 'Swallowtail Butterfly' , 'year' : '1996' }, {'title' : 'King of Comedy' , 'year' : '1999' }, {'title' : 'Devils on the Doorstep' , 'year' : '1999' }, {'title' : 'WALL-E' , 'year' : '2008' }, {'title' : 'The Pork of Music' , 'year' : '2012' }, ]
渲染主页模板 模板渲染函数之 render_template()
使用 render_template() 函数可以把模板渲染出来,必须传入的参数为模板文件名(相对于 templates 根目录的文件路径),这里即 ‘index.html’。为了让模板正确渲染,我们还要把模板内部使用的变量通过关键字参数传入这个函数(想想你index.html都定义了什么变量)
1 2 3 @app.route('/' def index (): return render_template('index.html' , name=name, movies=movies)
render_template() 函数在调用时会识别并执行 index.html 里所有的 Jinja2 语句,返回渲染好的模板内容。在返回的页面中,变量会被替换为实际的值(包括定界符),语句(及定界符)则会在执行后被移除(注释也会一并移除)。
然后直接跑跑看
第二课结束
静态文件 这个类比hexo博客搭建过程中的图片添加,会更加容易理解
静态文件(static files)和我们的模板概念相反,指的是内容不需要动态生成的文件。比如图片、CSS 文件和 JavaScript 脚本等。
你类比成在source目录下创建image文件夹来放置图片即可
生成静态文件url 这个我之前似乎在godyu神的博客之中见过,但是今天才知道原来是这么生成的
在HTML文件之中,要引入这些静态文件需要给出资源所在的url,为了更加的灵活,这些文件的url可以通过Flask提供的url_for()函数来生成
之前在第二章的时候就有说过这个函数了,对于静态文件来说 需要传入的端点值是static,同时使用filename参数来传入相对于static文件夹的文件路径
例如我们丢一个1.jpg进static文件夹的根目录
1 <img src="{{ url_for('static', filename='1.jpg') }}" >
他就会自己回调,花括号部分的调用会返回/static/1.jpg
原作者小提示
提示: 在 Python 脚本里,url_for() 函数需要从 flask 包中导入,而在模板中则可以直接使用,因为 Flask 把一些常用的函数和对象添加到了模板上下文(环境)里。
添加Favicon 1 2 3 Favicon(favourite icon) 是显示在标签页和书签栏的网站头像。你需要准备一个 ICO、PNG 或 GIF 格式的图片,大小一般为 16×16、32×32、48×48 或 64×64 像素。把这个图片放到 static 目录下,然后像下面这样在 HTML 模板里引入它: templates/index.html:引入 Favicon
exp
1 2 3 4 <head> ... <link rel="icon" href="{{ url_for('static', filename='favicon.ico') }}" > </head>
保存后刷新页面,即可在浏览器标签页上看到这个图片。
添加图片 在static下创建一个用于放图片的子文件夹
1 2 $ cd static $ mkdir images
exp
1 2 3 4 5 6 <h2> <img alt="Avatar" src="{{ url_for('static', filename='images/avatar.png') }}" > {{ name }}'s Watchlist </h2> ... <img alt="Walking Totoro" src="{{ url_for(' static', filename=' images/totoro.gif') }}">
添加css 在static目录下创建一个CSS文件style.css
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 /* 页面整体 */ body { margin: auto; max-width: 580px; font-size: 14px; font-family: Helvetica, Arial, sans-serif; } /* 页脚 */ footer { color: #888; margin-top: 15px; text-align: center; padding: 10px; } /* 头像 */ .avatar { width: 40px; } /* 电影列表 */ .movie-list { list-style-type: none; padding: 0; margin-bottom: 10px; box-shadow: 0 2px 5px 0 rgba(0, 0, 0, 0.16), 0 2px 10px 0 rgba(0, 0, 0, 0.12); } .movie-list li { padding: 12px 24px; border-bottom: 1px solid #ddd; } .movie-list li:last-child { border-bottom:none; } .movie-list li:hover { background-color: #f8f9fa; } /* 龙猫图片 */ .totoro { display: block; margin: 0 auto; height: 100px; }
然后在页面的head标签内引入这个CSS文件
1 2 3 4 <head > ... <link rel ="stylesheet" href ="{{ url_for('static', filename='style.css') }}" type ="text/css" > </head >
提示
Google Chrome(Mac):Command + Shift + R
最后在html文件中设置class属性值,以便和对应的CSS定义关联起来
1 2 3 4 5 6 7 8 9 <h2 > <img alt ="Avatar" class ="avatar" src ="{{ url_for('static', filename='images/avatar.png') }}" > {{ name }}'s Watchlist </h2 > ... <ul class ="movie-list" > ... </ul > <img alt ="Walking Totoro" class ="totoro" src ="{{ url_for('static', filename='images/totoro.gif') }}" >
第三课结束哈哈
数据库 使用 SQLAlchemy,一个python数据库,需要安装相对应的库,这里需要安装两个版本
1 (env ) $ pip install flask-sqlalchemy==2.5.1 sqlalchemy==1.4.47
提示: Flask-SQLAlchemy 3.x / SQLAlchemy 2.x 版本有一些大的变化
导入扩展类然后实例化,传入flask程序实力
1 2 3 from flask_sqlalchemy import SQLAlchemy app = Flask(__name__) db = SQLAlchemy(app)
设置数据库url flask提供了一个统一的接口来获取这些配置变量,即Flask.config,配置变量的名称必须得用大写,写入的配置语句一般要放到扩展类实例化语句之前
这里就直接写个例子
1 2 3 import osapp.config['SQLALCHEMY_DATABASE_URI' ] = 'sqlite:////' + os.path.join(app.root_path, 'data.db' )
注意这个配置变量的最后一个单词是uri,而不是url
数据库的文件一般直接放项目根目录即可,app.root_path 返回程序实例所在模块的路径(目前来说,即项目根目录),我们使用它来构建文件路径。数据库文件的名称和后缀你可以自由定义,一般会使用 .db、.sqlite 和 .sqlite3 作为后缀
要是数据库是基于windows系统的,就只需要
sqlite:///
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 import osimport sysfrom flask import Flaskfrom flask_sqlalchemy import SQLAlchemyWIN = sys.platform.startswith('win' ) if WIN: prefix = 'sqlite:///' else : prefix = 'sqlite:////' app = Flask(__name__) app.config['SQLALCHEMY_DATABASE_URI' ] = prefix + os.path.join(app.root_path, 'data.db' ) app.config['SQLALCHEMY_TRACK_MODIFICATIONS' ] = False db = SQLAlchemy(app)
当然也可以这么写,会更具有适应性
模板优化 假设我们现在要写一个404错误响应的页面
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 <!DOCTYPE html > <html lang ="en" > <head > <meta charset ="utf-8" > <title > {{ user.name }}'s Watchlist</title > <link rel ="icon" href ="{{ url_for('static', filename='favicon.ico') }}" > <link rel ="stylesheet" href ="{{ url_for('static', filename='style.css') }}" type ="text/css" > </head > <body > <h2 > <img alt ="Avatar" class ="avatar" src ="{{ url_for('static', filename='images/avatar.png') }}" > {{ user.name }}'s Watchlist </h2 > <ul class ="movie-list" > <li > Page Not Found - 404 <span class ="float-right" > <a href ="{{ url_for('index') }}" > Go Back</a > </span > </li > </ul > <footer > <small > © 2018 <a href ="http://helloflask.com/book/3" > HelloFlask</a > </small > </footer > </body > </html >
1 2 3 4 @app.errorhandler(404 def page_not_found (e ): user = User.query.first() return render_template('404.html' , user=user), 404
和我们前面编写的视图函数相比,这个函数返回了状态码作为第二个参数,普通的视图函数之所以不用写出状态码,是因为默认会使用 200 状态码,表示成功。
使用模板继承组织模板 对于模板内容重复的问题,Jinja2 提供了模板继承的支持。这个机制和 Python 类继承非常类似:我们可以定义一个父模板,一般会称之为基模板(base template)。基模板中包含完整的 HTML 结构和导航栏、页首、页脚等通用部分。在子模板里,我们可以使用 extends 标签来声明继承自某个基模板。
基模板中需要在实际的子模板中追加或重写的部分则可以定义成块(block)。块使用 block 标签创建,
作为开始标记,
1 {% endblock %} 或 {% endblock 块名称 %}
作为结束标记。通过在子模板里定义一个同样名称的块,你可以向基模板的对应块位置追加或重写内容。
编写基模板
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 <!DOCTYPE html > <html lang ="en" > <head > {% block head %} <meta charset ="utf-8" > <meta name ="viewport" content ="width=device-width, initial-scale=1.0" > <title > {{ user.name }}'s Watchlist</title > <link rel ="icon" href ="{{ url_for('static', filename='favicon.ico') }}" > <link rel ="stylesheet" href ="{{ url_for('static', filename='style.css') }}" type ="text/css" > {% endblock %} </head > <body > <h2 > <img alt ="Avatar" class ="avatar" src ="{{ url_for('static', filename='images/avatar.png') }}" > {{ user.name }}'s Watchlist </h2 > <nav > <ul > <li > <a href ="{{ url_for('index') }}" > Home</a > </li > </ul > </nav > {% block content %}{% endblock %} <footer > <small > © 2018 <a href ="http://helloflask.com/book/3" > HelloFlask</a > </small > </footer > </body > </html >
在基模板里,我们添加了两个块,一个是包含 head /head 内容的 head 块,另一个是用来在子模板中插入页面主体内容的 content 块。在复杂的项目里,你可以定义更多的块,方便在子模板中对基模板的各个部分插入内容。另外,块的名字没有特定要求,你可以自由修改。
在编写子模板之前,我们先来看一下基模板中的两处新变化。
第一处,我们添加了一个新的 meta 元素,这个元素会设置页面的视口,让页面根据设备的宽度来自动缩放页面,这样会让移动设备拥有更好的浏览体验:
1 <meta name ="viewport" content ="width=device-width, initial-scale=1.0" >
第二处,新的页面添加了一个导航栏:
1 2 3 4 5 <nav > <ul > <li > <a href ="{{ url_for('index') }}" > Home</a > </li > </ul > </nav >
有了基模板,子模版的编写会变得很简单
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 {% extends 'base.html' %} {% block content %} <p > {{ movies|length }} Titles</p > <ul class ="movie-list" > {% for movie in movies %} <li > {{ movie.title }} - {{ movie.year }} <span class ="float-right" > <a class ="imdb" href ="https://www.imdb.com/find?q={{ movie.title }}" target ="_blank" title ="Find this movie on IMDb" > IMDb</a > </span > </li > {% endfor %} </ul > <img alt ="Walking Totoro" class ="totoro" src ="{{ url_for('static', filename='images/totoro.gif') }}" title ="to~to~ro~" > {% endblock %}
第一行使用 extends 标签声明扩展自模板 base.html,可以理解成“这个模板继承自 base.html“。接着我们定义了 content 块,这里的内容会插入到基模板中 content 块的位置。
默认的块重写行为是覆盖,如果你想向父块里追加内容,可以在子块中使用 super() 声明,即
404 错误页面的模板类似,如下所示:
templates/404.html:继承基模板的 404 错误页面模板
1 2 3 4 5 6 7 8 9 10 11 12 {% extends 'base.html' %} {% block content %} <ul class ="movie-list" > <li > Page Not Found - 404 <span class ="float-right" > <a href ="{{ url_for('index') }}" > Go Back</a > </span > </li > </ul > {% endblock %}
结束,参考文献 https://tutorial.helloflask.com/
