sqlalchemy - sqlalchemy中执行原生sql - 传参方式避免了sql注入

最新推荐文章于 2024-09-23 23:03:27 发布
最新推荐文章于 2024-09-23 23:03:27 发布
阅读量4.8k 收藏 4
点赞数 1
分类专栏: MySQL 文章标签: sql注入 原生sql excute fetchall()
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuezhangjun0121/article/details/103993135
版权 
def get_data_all(user_id, name, start_time, end_time, page=1, limit=10):
    """
    sqlalchemy orm 执行原生sql语句
    :return:
    """
    try:
        # 项目数据列表
        conditions = dict()
        base_sql_pre = "select * from table1 p  where p.status = 1  and p.user_id = :user_id"

        conditions.update({"user_id": user_id})
        if start_time:
            start_time_sql = " and p.create_time >= :start_time"
            conditions.update({"start_time": start_time})
        else:
            start_time_sql = ""
        if end_time:
            end_time_sql = " and p.create_time <= :end_time"
            conditions.update({"end_time": end_time})
        else:
            end_time_sql = ""
        if name:
            name_sql = " and p.name like concat('%', :name, '%')"
            conditions.update({"name": str(name).strip()})
        else:
            name_sql = ""
        # 分页
        offset_size = (page - 1) * limit
        page_sql = " limit :limit_size offset :offset_size"
        conditions.update({
            "limit_size": limit,
            "offset_size": offset_size
        })

        # 组合sql
        select_sql = base_sql_pre + start_time_sql + end_time_sql + name_sql + page_sql
        cursor = db.session.execute(select_sql, conditions)
        res = cursor.fetchall()

        # 总数
        total_count_sql = "select count(id) from table1 p where p.status = 1 and p.user_id = :user_id" + start_time_sql + end_time_sql + name_sql
        conditions.pop("limit_size")
        conditions.pop("offset_size")
        cursor = db.session.execute(total_count_sql, conditions)
        total_count = cursor.fetchall()[0][0]
        return res, total_count
    except Exception:
        traceback.print_exc()

 

Saggitarxm
关注
专栏目录
基于SQLAlchemy实现操作MySQL执行原生sql语句
09-08
主要介绍了基于SQLAlchemy实现操作MySQL执行原生sql语句,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
调用数据库函数(SQLAlchemy所写),传入参数查询,二次调用参数为第一次传入参数
shashouleilei的博客
02-18 749
问题来源: 封装好远程数据库查询模块 第一次调用,传入参数 第二次调用,传入参数,无效,返回的值仍然时第一次调用的值 问题代码: createtables文件下代码: class Design(Base): __tablename__='design' design_id=Column(Integer,primary_key=True) teacher_id = Column(Integer, ForeignKey('teacher.teacher_id'), primary_key
如何在SQLAlchemy配置参数化查询
最新发布
Flask Web
09-23 312
这本书通过一个完整的项目开发案例,系统介绍了在统信UOS操作系统上进行Flask Web应用开发的过程。在SQLAlchemy配置参数化查询通常是通过使用text()函数结合命名参数或位置参数来实现的。然而,请注意,使用命名参数是更常见和推荐的做法。另外,SQLAlchemy还支持使用位置参数,但通常不推荐这样做,因为命名参数可以提供更好的可读性和安全性。在这个示例,:value是一个命名参数,它在执行查询时被params字典的'value'键对应的值'some_value'所替换。
SQLAlchemyexecute注入写法
a11131ghj的博客
08-25 3468
sql = "SELECT batch,start_time,end_time " \ "from repair_order_table " \ "WHERE batch = (" \ "SELECT batch FROM repair_order_table WHERE line=:line ORDER BY start_time DESC LIMIT 1") and line=:line;" batch_res = db.session.execute(sql,
python传递参数给sql db2_Python,SQLAlchemy传递参数在connection.execute
weixin_39568233的博客
12-10 697
The tutorial给出了这一个很好的例子:>>> from sqlalchemy.sql import text>>> s = text(... "SELECT users.fullname || ', ' || addresses.email_address AS title "... "FROM users, addresses "... "...
异常传参
ppp2006的专栏
12-26 701
http://blog.csdn.net/weiyijiji/article/details/3002782 比如这段代码 void f(){     excep e;     throw e; } try{  f(); }catch(excep &e){   } 运行一下,会调用一次COPY构造函数. "这里的catch虽然参数为1个引用,但是事实上仍会调用e的COPY构
SQLAlchemy操作MySQL、常用数据类型与参数
ForsetiRe的博客
04-19 2195
1.准备工作 数据库是一个网站的基础。Flask可以使用很多种数据库。比如MySQL,MongoDB,SQLite,PostgreSQL等。这里我们以MySQL为例进行讲解。而在Flask,如果想要操作数据库,我们可以使用ORM来操作数据库,使用ORM操作数据库将变得非常简单。 在讲解Flask的数据库操作之前,先确保你已经安装了以下软件: mysql:如果是在windows上,到官网下载。...
PyPI 官网下载 | SQLAlchemy-Utils-0.36.4.tar.gz
01-30
包含了一些辅助函数,如`grouped_load()`用于批量加载关联对象,`text_column()`和`sqlalchemy.text()`一起使用可以方便地执行SQL文本查询,`paginate_query()`帮助进行分页查询等。这些函数使得数据库操作更...
fastapi-sqlalchemy-asyncpg:在asyncpg驱动程序上将FastAPI与SQLAlchemy 1.4作为ORM与PostgreSQL进行简单集成
04-06
然后,你可以通过访问指定的URL来测试API接口,这些接口可能是使用SQLAlchemy和asyncpg执行数据库操作的。 总之,这个项目展示了如何将FastAPI、SQLAlchemy 1.4和asyncpg结合,以创建一个高性能的、异步的...
PyPI 官网下载 | sqlalchemy-seeder-0.3.0.tar.gz
02-02
**SQLAlchemy**是Python的一个高级SQL工具包和ORM(对象关系映射),它允许开发者以面向对象的方式来操作数据库,提供了数据库抽象层,使得数据库操作更加灵活和易于理解。SQLAlchemy的核心包括SQL表达式语言、一个...
PyPI 官网下载 | sqlalchemy-graphql-schemagen-1.0.6.tar.gz
02-11
SQLAlchemy是Python最流行的ORM(Object-Relational Mapping)库之一,它允许开发者用面向对象的方式处理数据库操作,而无需直接编写SQL语句。GraphQL是一种强大的API设计语言,能够使客户端精确地获取所需的数据...
PyPI 官网下载 | marshmallow-sqlalchemy-0.6.0.tar.gz
02-11
SQLAlchemy是Python非常流行的ORM(Object-Relational Mapping)库,它提供了强大的数据库操作能力,允许开发者用Python对象的方式处理数据库事务,而无需关心底层SQL语句的编写。另一方面,marshmallow是一个轻量...
SQLAlChemy】Query函数可传入的参数有哪些?
weixin_55818116的博客
06-10 589
SQLalchemyQuery函数可以传入的常见参数有哪些?
如何sql注入
weixin_49278803的博客
02-25 578
现象 实现一个根据指定条件检索数据库数据表功能,我们想到的是select语句,其%s占位符接收参数,但是这样的一条语句直接被执行很容易造成sql注入。why?执行的语句没有对“条件”进行校验! 验证是否有可能被sql注入:在传递的参数的后面加上 解决 方案:以sql自有校验功能进行参数的检查 语法:以传参的形式执行,如下图: 那么下面关注即sql语句该怎么写?,参数类型是什么? 根据执行sql的方法的不同(sql有哪些执行方式:见https://blog.csdn.net/weixin_49278803/
SQLAlchemy】第8节:Session会话入门
热门推荐
kzl_knight的博客
11-20 1万+
SQLAlchemy】第7节:Session会话入门1. 啥是会话2. 创建会话的步骤3. 保存与修改模型对象4. 查询模型对象(后续详细讲) 1. 啥是会话   会话相当于一个工厂,比如说多个模型类进行修改的操作,一旦有一个出现异常,那么要集体回滚,这个所谓的集体(就是这多个模型类)他们在这一次保存操作,必须关联起来,才能做到要成功一起成,要滚一起滚,会话,就是一个把他们建立联系的那个工厂。...
SQLAlchemy两种参数化查询方式
FanDDDN的博客
09-14 959
SQLAlchemy两种参数化查询方式;如果是列名需要动态传参,则只能使用 构建带有参数的SQL语句字符串 这一种方式
sqlalchemy学习笔记
weixin_33769207的博客
09-20 812
SQLAlchemy是python的一个数据库ORM工具,提供了强大的对象模型间的转换,可以满足绝大多数数据库操作的需求,并且支持多种数据库引擎(sqlite,mysql,postgres, mongodb等),在这里记录基本用法和学习笔记 一、安装 通过pip安装 $ pip install SQLAlchemy 二、使用 首先是连接到...
PyPI 官网下载 | bonobo_sqlalchemy-0.6.0a1.tar.gz
02-10
标题的"PyPI 官网下载 | bonobo_sqlalchemy-0.6.0a1.tar.gz"表明这是一个从Python Package Index (PyPI) 下载的软件包,名为`bonobo_sqlalchemy-0.6.0a1.tar.gz`。PyPI是Python开发者发布和分享他们创建的第三方库...
Flask flask_sqlalchemy直接执行SQL语句方法
wujize的博客
02-22 5013
flask_sqlalchemy直接用SQL操作数据库 flask-sqlalchemy直接操作数据库带是比较简单, 1、定义SQL语名,一般直接操作SQL都是比较复杂的语句,我这里一两个表的联合查询,用relationship搞了半天没有搞定,自己熟悉SQL,就用SQL直接操作,在外部先将SQL语句搞好。 2、传递参数,可以将参数传递到SQL语名,这是必须的。 3、用db.session.execute(sql, {‘account_1’: account1})执行语名,并传递参数到SQL。 4、直接执行
SQLAlchemy实战使用总结(通俗易懂)!!!
筱白爱学习!的博客
09-24 5859
目录 简介 基本用法 安装 连接数据库 配置信息 创建引擎并连接数据库 创建ORM模型并映射到数据建库 增删改查(CRUD)操作 新增 单条新增: 批量新增: 删除 修改 单条更新: 批量更新: 查询 查询所有数据 指定查询列 获取返回数据的第一行 查询数据 指定查询数据列 加入别名 原生SQL查询 表达式筛选条件 原生SQL筛选条件 筛选条件格式 字符串匹配方式筛选条件 并使用 order_by进行排序 and or使用 复杂查询 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值