Python中文网 - 问答频道, 解决您学习工作中的Python难题和Bug
Python常见问题
我有许多复杂的sql查询需要在Django上执行,而原始sql似乎是唯一的选择。我的参数是字符串,可以为空。之所以为空是因为我上面有条件语句,并且取决于需要执行正确的sql。但是,当rasql运行时,django实际上在sql中放入引号(我用引号表示字符串),因此它抛出一个错误。在
我简化了查询以显示我所面临的问题。执行以下查询时抛出错误。在
select_cond = ''
where_cond = 'id = 109'
qraw = Book.objects.raw(
"\
SELECT id %s\
FROM book\
WHERE %s\
",
[select_cond, where_cond]
)
错误是由于它被翻译成如下所示。引号实际上进入了sql,因此它不会执行。有什么办法解决这个问题吗?在
^{pr2}$Tags: django字符串idsql参数错误语句where
热门问题
- 如何将python输出重定向到python控制台和Windows中的文本文件
- 如何将Python运行时嵌入运行在Windows上的R包中
- 如何将python进程作为另一个Windows us运行
- 如何将Python进程的输出用Python管道传输?
- 如何将Python进程的输出重定向到Rust进程?
- 如何将python连接到Azure云并创建Azure数据工厂
- 如何将Python连接到Db2
- 如何将python连接到IBMDB2?
- 如何将Python连接到microsoftaccess数据库文件?
- 如何将python连接到MySQL服务器
- 如何将Python连接到Node.js?
- 如何将python连接到Oracle Application Express
- 如何将Python连接到PostgreSQL
- 如何将Python连接到Postgres服务器?
- 如何将Python连接到SAS Enterprise Guide(EG)服务器
- 如何将Python连接到Spark会话并保持RDDs的Ali
- 如何将python连接到sqlite3并在上填充多行
- 如何将python连接到使用docker运行的cassandra
- 如何将python退格应用于字符串
- 如何将python逻辑应用到tkinter GUI中?这是一个简单的GET请求程序
热门文章
- Python覆盖写入文件
- 怎样创建一个 Python 列表?
- Python3 List append()方法使用
- 派森语言
- Python List pop()方法
- Python Django Web典型模块开发实战
- Python input() 函数
- Python3 列表(list) clear()方法
- Python游戏编程入门
- 如何创建一个空的set?
- python如何定义(创建)一个字符串
- Python标准库 [The Python Standard Library by Ex
- Python网络数据爬取及分析从入门到精通(分析篇)
- Python3 for 循环语句
- Python List insert() 方法
- Python 字典(Dictionary) update()方法
- Python编程无师自通 专业程序员的养成
- Python3 List count()方法
- Python 网络爬虫实战 [Web Crawler With Python]
- Python Cookbook(第2版)中文版
这是Django使用的底层数据库驱动程序的默认行为。在
注意:我不确定试图以这种方式构造查询背后的动机。在
只有当您信任查询中使用的where条件的源时,才通过字符串格式将它们放入查询中:
同样,这样做是不安全的,因为您实际上使它容易受到SQL注入的攻击。在
为了更安全,您可以预先分析查询中将使用的where条件,并手动调用字段值
^{pr2}$MySQLdb.escape_string(),例如:Django为raw提供了一个'params' argument,可以避免潜在的SQL注入攻击。正如@alecxe的示例所示,python中的三引号是定义多行变量并避免任何反斜杠换行的好方法。这里有一个建议的安全解决方案“Django方式”:
只需将条件占位符替换为适当的值。在
相关问题 更多 >
编程相关推荐