python sql语句传参数_python-将包含字符串的参数传递到Django Raw sql的正确方法

最新推荐文章于 2023-01-30 18:10:37 发布
最新推荐文章于 2023-01-30 18:10:37 发布
阅读量588 收藏 1
点赞数
文章标签: python sql语句传参数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34460466/article/details/111907873
版权

我有一堆需要在Django上执行的复杂SQL查询,而Raw SQL似乎是唯一的选择.我的参数是字符串,可以为空.为空的原因是我上面有条件语句,并取决于需要执行正确的sql.但是,当运行ra sql时,django实际上在sql中加了引号(我用来表示字符串),因此会引发错误.

我简化了查询以显示我面临的问题.执行以下查询时将引发错误.

select_cond = ''

where_cond = 'id = 109'

qraw = Book.objects.raw(

"\

SELECT id %s\

FROM book\

WHERE %s\

",

[select_cond, where_cond]

)

该错误是由于将其翻译如下.实际上,引号包含在sql中,因此不会执行.关于如何解决此问题的任何想法吗?

SELECT id ''

FROM book

WHERE 'id = 109'

ORDER BY id DESC;

解决方法:

这是Django使用的基础数据库驱动程序的默认行为.

注意:我不确定尝试以此方式构造查询的动机.

仅当您信任查询中使用的where条件的来源时,才可以通过字符串格式将其放入查询中:

qraw = Book.objects.raw("""

SELECT

id, {select}

FROM

book

WHERE

{where}

""".format(select=select_cond, where=where_cond)

)

同样,这样做并不安全,因为您实际上使它容易受到SQL注入的攻击.

为了使其更安全,您可以预先准备要在查询中使用的条件,并在字段值上手动调用MySQLdb.escape_string(),例如:

key, value = where_cond.split(' = ')

value = MySQLdb.escape_string(value)

where_cond = ' = '.join(key, value)

标签:python,django,sql,mysql,django-models

来源: https://codeday.me/bug/20191028/1953762.html

翠袂天寒
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python MySQLdb 执行sql语句时的参数传递方式
09-08
主要介绍了Python MySQLdb 执行sql语句时的参数传递方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Django执行原始SQL
u013177568的专栏
03-16 950
一、参考文档和资料 Django 1.2 https://docs.djangoproject.com/en/1.2/topics/db/sql/ 二、知识点总结 Django提供两种方式执行(performing)原始的SQL查询: (1)、Manager.raw():执行原始查询并返回模型实例 (2)、Executing
Django Raw and Raw SQL
weixin_34113237的博客
06-08 424
Django Raw and Raw SQL Django Raw and Raw SQLpublished on 02 Mar 2010 Django Raw is pretty sweet. Basically, you use it like so:from models import Model query = "SELECT * FROM model" models = Model....
django - raw sql - 注意点!
weixin_30734435的博客
07-08 496
现在的自己已经不怕mysql,已经熟悉了sql “搜索优化专家有时候都无法顾全所有,更何况ORM” 两种方法执行 sql原生语句 tablename.objects.raw() - 这样的语句,只能执行 select,只能执行查询 执行 update, insert 等操作 from django.db import connections, tra...
django使用raw()执行sql语句多表查询
人无远虑,必有近忧.
09-23 5879
1.环境 python3.7 django2.2.16 mysql5.7 2.raw()的用法 raw() 执行原始sql,并返回模型实例对象。 可用于多表关联查询 返回结果必须包含实例对象对应据库表的主键 虽然返回结果是实例对象,但是对于多表关联查询,返回结果可以包含非实例对象(关联查询表)的字段属性。 3.实例 据库表:product(产品表) model_replace(产品型号替换表),两个表并没有外键关联关系,只是通过一个product_unique_sign去关联 pr
Python库 | django_sql_dashboard-0.1a2-py3-none-any.whl
02-16
python库,解压后可用。 资源全名:django_sql_dashboard-0.1a2-py3-none-any.whl
Python库 | django_sql_dashboard-0.4a2-py3-none-any.whl
03-29
资源分类:Python库 所属语言:Python 资源全名:django_sql_dashboard-0.4a2-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | django_minio_backend-3.0.0-py3-none-any.whl
03-29
资源分类:Python库 所属语言:Python 资源全名:django_minio_backend-3.0.0-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | django_admin_multilang-1.0-py3-none-any.whl
02-15
python库,解压后可用。 资源全名:django_admin_multilang-1.0-py3-none-any.whl
django中使用sql语句查询
你呢的博客
05-13 3212
django中提供了一个raw()方法来使用sql语句进行查询 class Person(models.Model): first_name = models.CharField(max_length=50) last_name = models.CharField(max_length=50) birth_date = models.DateField(max_leng...
转:django 执行原始SQL查询 raw sql
weixin_30399821的博客
11-03 265
摘自The Django Book第10章: 据模型高级进阶http://djangobook.py3k.cn/2.0/chapter10/ https://docs.djangoproject.com/en/dev/topics/db/sql/ django 执行原始SQL查询有时候你会发现Django据库API带给你的也只有这么多,那你可以为你的据库写一些自定义SQL查询。...
Django】执行原生SQL查询、.raw()方法执行SQL查询
走在搬砖的路上!
02-16 3072
.raw()方法的使用: django中提供了一个raw()方法来使用sql语句进行查询 class Person(models.Model): first_name = models.CharField(max_length=50) last_name = models.CharField(max_length=50) birth_date = models.DateField(max_length=50) Person.objects.raw('SELECT...
django实现原生SQL参数
bugua3542的博客
05-19 507
Python/django, 执行原生SQL, 变量传参, 多个变量传参
Django中执行原始SQL语句有几种方式?
zy1992As的博客
01-30 970
django.db.conneciton提供默认据库连接,使用connection.cursor()方法可以获取据库游标对象,使用游标对象的execute()方法可以执行原始的SQL语句。虽然使用raw()方法可以通过模型查询到据表中的据,但是在实际开发中还可能需要对未映射至模型的据进行查询,或更新、插入、删除,此时无法再使用raw()方法,只能绕过模型直接访问据库。raw()方法将查询语句中的字段映射至模型字段,因此raw()方法中字段的顺序并不影响查询出的结果。
Django中使用原生SQL(带参数)的方法
akuxia的博客
08-07 951
Django中使用原生SQL(带参数)的方法 django.db import connection(必须加,需要cursor方法) from django.db.models import Avg,Max,Min,Count,Sum(根据需要) Cursor = connection.cursor() Cursor.execute(‘select * from 表名 where 字段=%s’,[参数名]) Cursor.fetchall() 示例: def getnumbybranch(request)
基于SSM+JSP的企业人事管理信息系统毕业设计(源码+录像+说明).rar
05-09
基于SSM+JSP的企业人事管理信息系统毕业设计(源码+录像+说明).rar 【项目技术】 开发语言:Java 框架:ssm+jsp 架构:B/S 据库:mysql 【演示视频-编号:420】 https://pan.quark.cn/s/b3a97032fae7 【实现功能】 实现了员工基础据的管理,考勤管理,福利管理,薪资管理,奖惩管理,考核管理,培训管理,招聘管理,公告管理,基础据管理等功能。
node-v6.12.0-linux-ppc64le.tar.xz
最新发布
05-09
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v6.8.0-linux-ppc64le.tar.xz
05-09
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明(高分).zip
05-09
基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明.zip该项目是个人毕设项目源码,评审分达到97分,都经过严格调试,确保可以运行!放心下载使用。该项目资源主要针对计算机相关专业的学生或从业者下载使用,也可作为期末课程设计、课程大作业、毕业设计等。 基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明.zip该项目是个人毕设项目源码,评审分达到97分,都经过严格调试,确保可以运行!放心下载使用。该项目资源主要针对计算机相关专业的学生或从业者下载使用,也可作为期末课程设计、课程大作业、毕业设计等。 基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明.zip该项目是个人毕设项目源码,评审分达到97分,都经过严格调试,确保可以运行!放心下载使用。该项目资源主要针对计算机相关专业的学生或从业者下载使用,也可作为期末课程设计、课程大作业、毕业设计等。 基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明.zip该项目是个人毕设项目源码,评审分达到97分,都经过严格调试,确保可以运行!放心下载使用。该项目资源
利用pythonDjango中"2023-03-10T12:46:28.102Z"字符串转化为时间
03-11
可以使用Python中的datetime模块来将字符串转化为时间,...注意,需要将字符串中的"Z"替换为"+00:00",因为ISO 8601格式中的"Z"表示UTC时间,而Python中的datetime.fromisoformat()方法需要传入带时区信息的字符串

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值