《Django基礎教程》讀後感

之前看到這本書的出版，加之想複習一遍 Django，為下學期的死亡web開發課做準備（這門課的大作業工作量和畢設差不多...），就買了這本書把 Django 又啃了一遍。

圖靈社群也有本《精通Django》，我也寫過這本書的讀後感：《精通 Django》 讀後感。

我覺得兩本書可以互補起來，《精通 Django》 像是 Cookbook 的一種形式，以知識點+小例子這種組合來呈現，同時深入說明 Django 的機制。而《Django 基礎教程》用一個簡單的專案貫穿書中提到的所有的知識點，知識點可以參考目錄，除了Django 的基礎知識點，作者還提供了一些實用第三方包的使用，以及線上部署的經驗。

閱讀時令我眼前一亮的是，作者在一些基礎章節的第一節會給出開發流程，章節末尾給出練習讓讀者鞏固本章所學，作者在書中也會時不時給出 Web 開發時要注意的點，對新手友好。

寫到這裡扯點其他的。

怎麼樣判斷一個教程足夠基礎，我認為其中一個依據是讀者是否能通過該教程儘可能掃清開發所會遇到的障礙。作者無法控制讀者的開發水平，如果把新手讀者看做閱讀門檻的下限，有一定經驗的讀者看做上限，那麼教程就需要寫的夠簡明、全面。而《Django基礎教程》為新手準備了全面的Django開發入門知識，也為有經驗的讀者提供了許多Best Practice 和 Tips，實屬不易。

另外，“Top-ranked programming Web tutorials introduce vulnerabilities into software” 這篇文章提出了一些有缺陷的線上教程導致軟體漏洞。下面直接引用 Solidot 網站對文章寫的簡介：

線上教程中的示例程式碼經常會被人直接拷貝到程式中，然而問題是並非所有的線上教程示例程式碼經過了充分的安全評估。德國的研究人員檢查了 GitHub 上 6.4 萬多個專案的 PHP 程式碼，發現了 117 個與有缺陷的線上教程相關的漏洞。研究人員隨後在 Google 上搜尋“mysql tutorial”，“php search form”、 “javascript echo user input”等關鍵詞後分析和評估了前五個搜尋結果的教程示例程式碼，發現有 9 個教程含有 SQLi 和 XSS 漏洞。他們的研究報告（PDF）發表在預印本網站上。
Solidot “有缺陷的線上教程導致了軟體漏洞”

這篇文章提到了他們根據 OWASP 的指南來評估出網站漏洞，OWASP 全稱是 The Open Web Application Security Project（開放式Web應用程式安全專案），是一個非盈利的全球性安全組織。

他們免費向公眾提供了 OWASP 測試指南，這是業界首套系統的介紹應用安全測試的指導性文件，他們同時提到建立這本指南的目的是使需要它的人能掌握這些專業知識。

OWASP 的各個指南是對開發及維繫安全的應用程式很好的出發點。開發者指南能指導你如何設計和開發安全的應用程式,而程式碼檢測指南則會告訴你如何為程式碼作安全檢測,而測試指南會指導你如何驗證你的應用程式的安全性。我極力推薦你使用這些指南在你的應用程式開發。
Eoin Keary 2005-2007 OWASP 測試指南專案負責人

GitBook 上能找到國內先驅們翻譯的版本：《OWASP 測試指南 4.0》。

最後，自己好像不知不覺在讀後感裡寫多了資訊保安相關的介紹了...其實 Web應用作為直接公開在網際網路中的專案，我們總該謹慎些，不斷學習精進。