Django文件閱讀之執行原始SQL查詢
Django提供了兩種執行原始SQL查詢的方法:可以使用Manager.raw()來執行原始查詢並返回模型例項,或者可以完全避免模型層直接執行自定義SQL。
每次編寫原始SQL時都要關注防止SQL注入
一、raw()方法
raw()方法可以用來執行返回模型例項原始的SQL查詢:
此方法接受原始SQL查詢,執行它並返回 django.db.models.query.RawQuerySet例項。RawQuerySet
QuerySet以提供物件例項。
Person.objects.raw('SELECT * FROM myapp_person')
將查詢欄位對映到模型欄位
raw() 自動將查詢中的欄位對映到模型上的欄位。
查詢中欄位的順序無關緊要。換句話說,以下兩個查詢的工作方式相同:
>>> Person.objects.raw('SELECT id, first_name, last_name, birth_date FROM myapp_person') ... >>> Person.objects.raw('SELECT last_name, birth_date, first_name, id FROM myapp_person') ...
匹配是通過名稱完成的。這意味著您可以使用SQL的AS子句將查詢中的欄位對映到模型欄位。因此,如果您有其他表中包含Person資料的表,您可以輕鬆地將其對映到Person例項中:
>>> Person.objects.raw('''SELECT first AS first_name, ... last AS last_name, ... bd AS birth_date, ... pk AS id, ... FROM some_other_table''')
只要名稱匹配,就會正確建立模型例項。
或者,您可以使用translations
raw()。這是一個字典,將查詢中欄位的名稱對映到模型上欄位的名稱。例如,上面的查詢也可以寫成:
>>> name_map = {'first': 'first_name', 'last': 'last_name', 'bd': 'birth_date', 'pk': 'id'} >>> Person.objects.raw('SELECT * FROM some_other_table', translations=name_map)
索引查詢
raw() 支援索引,因此如果您只需要第一個結果,您可以編寫:
>>> first_person = Person.objects.raw('SELECT * FROM myapp_person')[0]
但是,索引和切片不在資料庫級別執行。如果Person資料庫中有大量物件,則在SQL級別限制查詢會更有效:
>>> first_person = Person.objects.raw('SELECT * FROM myapp_person LIMIT 1')[0]
Django使用主鍵來標識模型例項,因此它必須始終包含在原始查詢中。一InvalidQuery,如果你忘了,包括主鍵,將引發異常。
將引數傳遞給raw()
如果需要執行引數化查詢,可以使用以下params 引數raw():
>>> lname = 'Doe'
>>> Person.objects.raw('SELECT * FROM myapp_person WHERE last_name = %s', [lname])
params是引數的列表或字典。無論您的資料庫引擎如何,您都將%s 在查詢字串中使用佔位符作為列表,或者%(key)s 使用字典的佔位符(當然,這key將替換為字典鍵)。這些佔位符將替換為引數中的params 引數。
不要在原始查詢上使用字串格式或在SQL字串中引用佔位符!
將上述查詢編寫為:
>>> query = 'SELECT * FROM myapp_person WHERE last_name = %s' % lname >>> Person.objects.raw(query)
您可能還認為應該像這樣編寫查詢(帶引號%s):
>>> query = "SELECT * FROM myapp_person WHERE last_name = '%s'"
不要犯這些錯誤。
使用params 引數並保留佔位符不加引號可以保護您免受SQL注入攻擊,這是攻擊者將任意SQL注入資料庫的常見漏洞。如果使用字串插值或引用佔位符,則存在SQL注入的風險。
直接執行自定義
該物件django.db.connection表示預設資料庫連線。要使用資料庫連線,請呼叫connection.cursor()以獲取遊標物件。然後,呼叫執行SQL和或返回結果行。
cursor.execute(sql,[params])
from django.db import connection
def my_custom_sql(self): with connection.cursor() as cursor: cursor.execute("UPDATE bar SET foo = 1 WHERE baz = %s", [self.baz]) cursor.execute("SELECT foo FROM bar WHERE baz = %s", [self.baz]) row = cursor.fetchone() return row
要防止SQL注入,不得%s 在SQL字串中的佔位符周圍包含引號。
請注意,如果要在查詢中包含文字百分號,則必須在傳遞引數的情況下將它們加倍:
cursor.execute("SELECT foo FROM bar WHERE baz = '30%'") cursor.execute("SELECT foo FROM bar WHERE baz = '30%%' AND id = %s", [self.id])
預設情況下,Python DB API將返回沒有欄位名稱的結果,這意味著您最終會得到一個list值,而不是一個dict。在較小的效能和記憶體成本下,您可以使用以下內容返回結果dict:
def dictfetchall(cursor):
"Return all rows from a cursor as a dict" columns = [col[0] for col in cursor.description] return [ dict(zip(columns, row)) for row in cursor.fetchall() ]
另一種選擇是使用collections.namedtuple()Python標準庫。A namedtuple是一個類似元組的物件,其欄位可通過屬性查詢訪問; 它也是可索引和可迭代的。結果是不可變的,可以通過欄位名稱或索引訪問,這可能很有用:
from collections import namedtuple
def namedtuplefetchall(cursor): "Return all rows from a cursor as a namedtuple" desc = cursor.description nt_result = namedtuple('Result', [col[0] for col in desc]) return [nt_result(*row) for row in cursor.fetchall()]
以下是三者之間差異的一個例子:
>>> cursor.execute("SELECT id, parent_id FROM test LIMIT 2"); >>> cursor.fetchall() ((54360982, None), (54360880, None)) >>> cursor.execute("SELECT id, parent_id FROM test LIMIT 2"); >>> dictfetchall(cursor) [{'parent_id': None, 'id': 54360982}, {'parent_id': None, 'id': 54360880}] >>> cursor.execute("SELECT id, parent_id FROM test LIMIT 2"); >>> results = namedtuplefetchall(cursor) >>> results [Result(id=54360982, parent_id=None), Result(id=54360880, parent_id=None)] >>> results[0].id 54360982 >>> results[0][0] 54360982