Ho scritto un'app di Django e l'ho quasi pubblicata con la modalità di debug. La documentazione di Django indica
Never deploy a site into production with DEBUG turned on.
Did you catch that? NEVER deploy a site into production with DEBUG turned on.
One of the main features of debug mode is the display of detailed error pages. If your app raises an exception when DEBUG is True, Django will display a detailed traceback, including a lot of metadata about your environment, such as all the currently defined Django settings (from settings.py).
Quindi mi chiedo quante informazioni potrebbe effettivamente ottenere un utente malintenzionato in un'app tipica? Login utenti? Tutto il tuo codice?