Jua*_*129 6 python sql django cursor sql-like
我知道这可能是愚蠢的,但我决定以任何方式提问.
我一直试图查询类似的东西:
cursor.execute("select col1, col2 \
from my_tablem \
where afield like '%%s%'
and secondfield = %s
order by 1 desc " % (var1, var2) )
但我在同一句话中得到错误.它不喜欢我需要获得包含第一个%s值的所有结果的额外%.
想法?
TIA!
首先,为什么不使用Django ORM呢?
MyClass.objects.filter( aField__contains=var1, secondField__exact=var2 )
其次,确保你得到了你期望的SQL.
stmt= "select... afield like '%%%s%%' and secondfield = '%s'..." % ( var1, var2 )
print stmt
cursor.execute( stmt )
第三,您的方法有一个称为SQL注入攻击的安全漏洞.你真的不应该像这样做SQL.
如果你绝对必须在Django的ORM之外做一些事情,你必须在查询中使用绑定变量,而不是字符串替换.请参阅http://docs.djangoproject.com/en/dev/topics/db/sql/#performing-raw-sql-queries.
可以将字符串'%'破解成搜索字符串吗?
var1 = '%' + var1 + '%'
then query normally:
cursor.execute("select col1, col2
from my_tablem where afield like %s
and secondfield = %s
order by 1 desc " , [var1, var2] )
| 归档时间: |
|
| 查看次数: |
11385 次 |
| 最近记录: |