12Django的原生数据库操作方法

原生数据库操作方法一:

查询:MyModel.objects.raw()

语法:MyModel.objects.raw(SQL语句,拼接参数)

返回值:RawQuerySet集合对象【只支持基础操作,比如循环】

Django官方一般不建议直接使用SQL做查询操作,容易被注入SQL,例如下面这个案例:

#模拟sql注入获取所有用户:
def sqltest(request,user_id):
  sql = 'select * from user where id=%s'%(user_id)
  f = User.objects.raw(sql)
  for i in f:
      print(i.name)
sqltest(1 or 1=1)

解决上面的这个漏洞的办法就是不要自己拼接sql语句,而是用传参的方式,例如:

#自己拼接(危险)
Book.objects.raw('selece * from bookstore_book where id=%s'%('1 or 1=1'))
#传参(安全):
让Django帮我们传参,Django会帮我们把危险的字符转义掉
Book.objects.raw('selece * from bookstore_book where id=%s,['1 or 1=1']'

 

原生数据库操作方法二(cursor):

直接使用游标操作数据库,为了保证出现异常时能够释放游标cursor资源,推荐使用with语句创建操作

#方法:
from django.db import connection
with connection.cursor() as cur:
  cur.execute('SQL语句'.'拼接参数')

示例:

from django.db import connection
#更新表bookstore_book里的字段pub为XXX出版社
with connection.cursor() as cur:
  cur.execute('update bookstore_book set pub_house="XXX出版社" where id=10;')
#删除id=1的一条记录
with connection.cursor() as cur:
  cur.execute('delete from bookstore_book where id=10;')

 

上一篇:python 连接数据库


下一篇:Scrum冲刺博客Day3