1 artigo com esta tag
O Django é 'baterias incluídas' com padrões seguros (ORM, CSRF, auto-escapamento de templates, auth) e é sólido quando configurado corretamente. Mas os incidentes vêm das configurações. Os três grandes: (1) DEBUG=True em produção expondo configurações, variáveis de ambiente e segredos na página de erro, (2) um SECRET_KEY vazado (a base para assinatura/sessões), (3) autorização rasa (verificações de is_staff/permission ausentes). Além de SQLi via raw()/extra() ou interpolação de string, desserialização insegura (pickle), ALLOWED_HOSTS não definido e CVEs de dependências (pip). Defesas: DEBUG=False em produção, SECRET_KEY do ambiente, autorização explícita.