Using quot;likequot; in a cursor/query with a parameter in python (django)(在带参数的游标/查询中使用quot;likequot;(Django))
本文介绍了在带参数的游标/查询中使用";like";(Django)的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我知道这可能是件蠢事,但我决定无论如何都要问。
我一直在尝试查询类似以下内容:
cursor.execute("select col1, col2
from my_tablem
where afield like '%%s%'
and secondfield = %s
order by 1 desc " % (var1, var2) )
但我在LIKE语句中得到了一个错误。它不喜欢获取包含第一个%s值的所有结果所需的额外%。
想法?
TIA!
推荐答案
首先,为什么不使用Django ORM进行此操作?
MyClass.objects.filter( aField__contains=var1, secondField__exact=var2 )
第二,确保您获得的是您期望的SQL。
stmt= "select... afield like '%%%s%%' and secondfield = '%s'..." % ( var1, var2 )
print stmt
cursor.execute( stmt )
第三,您的方法有一个称为SQL注入攻击的安全漏洞。您真的不应该这样做SQL。
如果您绝对必须在Django的ORM之外执行操作,则必须在查询中使用绑定变量,而不是字符串替换。请参阅http://docs.djangoproject.com/en/dev/topics/db/sql/#performing-raw-sql-queries。
这篇关于在带参数的游标/查询中使用";like";(Django)的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持编程学习网!
编程基础网
本文标题为:在带参数的游标/查询中使用";like";(Django)
基础教程推荐
猜你喜欢
- numpy float:比算术运算中内置的慢 10 倍? 2022-01-01
- Discord.py 缺少必需的参数 2022-01-01
- 用 Python 编写 Fortran 无格式文件 2022-01-01
- 使用生成器和迭代器时 Python 多循环失败 2022-01-01
- 与常规 dict 相比,Python manager.dict() 非常慢 2022-01-01
- pyserial - 可以从线程 a 写入串行端口,是否阻塞从线程 b 读取? 2022-01-01
- 由Python将MP3转换为MIDI(类型错误:无法加载插件:mtg-Melodia:Melodia) 2022-01-01
- 尝试制作WhatsApp机器人 2022-01-01
- 将 x 轴刻度更改为自定义字符串 2022-01-01
- 在 Celery 工作人员中捕获 Heroku SIGTERM 以优雅地关 2022-01-01
