我有一堆需要在Django上执行的复杂SQL查询,而Raw SQL似乎是唯一的选择.我的参数是字符串,可以为空.为空的原因是我上面有条件语句,并取决于需要执行正确的sql.但是,当运行ra sql时,django实际上在sql中加了引号(我用来表示字符串),因此会引发错误.
我简化了查询以显示我面临的问题.执行以下查询时将引发错误.
select_cond = ''
where_cond = 'id = 109'
qraw = Book.objects.raw(
"\
SELECT id %s\
FROM book\
WHERE %s\
",
[select_cond, where_cond]
)
该错误是由于将其翻译如下.实际上,引号包含在sql中,因此不会执行.关于如何解决此问题的任何想法吗?
SELECT id ''
FROM book
WHERE 'id = 109'
ORDER BY id DESC;
解决方法:
这是Django使用的基础数据库驱动程序的默认行为.
注意:我不确定尝试以此方式构造查询的动机.
仅当您信任查询中使用的where条件的来源时,才可以通过字符串格式将其放入查询中:
qraw = Book.objects.raw("""
SELECT
id, {select}
FROM
book
WHERE
{where}
""".format(select=select_cond, where=where_cond)
)
同样,这样做并不安全,因为您实际上使它容易受到SQL注入的攻击.
为了使其更安全,您可以预先准备要在查询中使用的条件,并在字段值上手动调用MySQLdb.escape_string(),例如:
key, value = where_cond.split(' = ')
value = MySQLdb.escape_string(value)
where_cond = ' = '.join(key, value)
标签:python,django,sql,mysql,django-models
来源: https://codeday.me/bug/20191028/1953762.html