为什么我学会了Django/Flask，还是不会做Web开发？

相信很多朋友或多或少的都尝试过用Django或者是Flask来开发网站(以下用Django来做代表)。毕竟用Python做开发的速度就已经快人家好几倍了，何况是基于Python的web框架，那开发一个网站肯定“咔咔咔“几下就完成了。然而现实却是残酷的，很多人在使用Django的时候，不仅没有实现”咔咔咔“的效果，相反却很难使用Django做出一个像样的网站出来。明明书上讲的，网上说的我都会了呀，到底还差在哪里？正所谓听君一席话，胜读十年书，今天我们就来聊一聊，为什么有的人学会了Django的各种招式，可还是不会做web开发。如果你觉得我说得对，欢迎下面留言，如果你觉得我说得不对，那就当作笑话笑一笑吧。

其实出现以上问题，是因为有的朋友对Django甚至对web开发的认识不够清晰。这里我列出了五点，来纠正大家的一些误区！

## 误区一：Django的数据库操作只是简单的增删改查。

很多朋友在网上找一些Django相关的资料学习完后，可以用Django的ORM框架实现一些数据的增删改查，就觉得仿佛掌握了开启未来之门的钥匙，大为喜悦。熟不知这只是初级Django开发工程师的第一步。如果想用Django做出一个像样的网站出来，你还需要学会更高级的技术。例如：“如何用ORM实现‘查询没有学全所有课的同学的id、姓名’等诸类复杂查询”、“如何提高数据库操作的效率”、“如何在模型定义的时候选择合适的字段类型”、“如何定义多级评论模型”、“navie时间和aware时间对数据存取的影响”等。这些你可能之前想都没有想过的问题，实际上是网站开发中的家常便饭。你若不知道这些技术，如何用他们现你想要的功能？

## 误区二：Django的模板是语言是万能的。

很多同学在学会了DTL（Django Template Language）数据传递和渲染后，以为Django的模板语言

跟Python一样强大，可以做复杂的逻辑处理。但是实际上Django的模板语言能力非常有限，他在循环的时候没有break和continue语句，在最新的Django2.0中甚至不能使用中括号（[]）语法取字典和列表中的值，更不能使用圆括号（()）来执行函数等等。这一切你以为都很正常的代码，在模板中却不支持！另外还存在一个误解就是，DTL可以渲染AJAX异步加载的数据，DTL只是负责生成一个模板，后期再修改页面，DTL就无能为力了。但也不是说想要实现AJAX异步加载就不能使用DTL，DTL可以配合前端其他模板（比如arttemplate）来实现“加载更多”的功能。

## 误区三：不需要了解HttpRequest和HttpResponse对象。

HttpRequest和HttpResponse是Django网络处理过程中的两个非常重要的对象。只有对这两个对象有了足够细致的了解，才能在写代码的时候做到信手拈来。比如要判断这个请求是否是通过ajax请求我们可以通过request.is_ajax()来判断，比如想要实现反爬虫技术，我们可以通过request.META中的key来判断这个请求是不是由爬虫发起的。另外，包括session处理，COOKIES数据提取等，都是通过这个对象实现的。而HttpResponse虽然不直接使用，但是我们却一直在间接使用它或者他的子类，比如想要返回json数据我们不需要json.dumps再传给HttpResponse，我们可以直接返回一个JsonResponse对象，比如想要实现一个“文件下载”的功能，我们应该在response的响应头中设置Content-Disposition属性并标记文件名称。这些，你都知道吗？

## 误区四：使用Django开发网站，不需要担心安全问题。

虽然Django已经做得足够安全了。但是有些地方还是需要我们自己去把握。比如什么是CSRF攻击，CSRF攻击会造成什么危害（可以看下我的《CSRF攻击实现ICBC转账》案例），如何防御CSRF攻击，在表单和ajax中我们该用什么方式来确保没有CSRF攻击等。另外还有臭名昭著的XSS攻击，如果用户在评论区提交了一串alert(‘hello’);代码，以后我们渲染这条评论的时候该如何将这个代码当做普通字符串渲染。如果用户是可信任的，上传了“

这是红色文字

alert(‘hello’);”，想要将“红色文字”和“alert(‘hello’);”当做普通字符串渲染，而“

”标签当做代码渲染，我们又该如何实现？更多的比如还有“SQL注入”、点击劫持攻击等。你不学习，都不知道网络上的世界是这么的危险！

## 误区五：做web开发只需要学会Django。

这是对Django误解最深的一点。很多朋友以为做web开发，只要学会了Django，就能开发出一个优美的功能强大的网站。其实一个网站是由前端和后端组成，前端简单来讲就是浏览器中展示的页面，需要通过HTML+CSS+JavaScript三套组合拳才能实现。另外除了Django和前端，一些第三方功能也是一个网站必备的元素。比如有短信验证码的发送、图形验证码、邮件的发送、Memcached缓存优化、分页技术、视频加密播放、支付功能、第三方登录等。拥有这些功能，你的网站才算得上是一个给“人”用的网站！

以上只是我们列出来大家对Django或者web开发误解的一部分，因为篇幅原因，其中还有更多技术细节无法一一列出来，比如“权限管理到底要怎么管理”、“什么时候该使用信号”、“上下文处理器和中间件是怎么一回事”等。