Operasi LIKE Django.

Question

Saya cuba menghantar pertanyaan melalui Python Django, dan saya juga cuba menghalang sebarang serangan suntikan SQL.

Bolehkah seseorang menerangkan cara pemesejan berfungsi? Contohnya, contoh pertanyaan SUKA.

"PILIH * DARI pentadbir DI MANA nama SEPERTI '%myTitle%'

Mudah untuk mengkonfigurasi pertanyaan seperti ini.

cursor.execute("SELECT * FROM admin WHERE name= %s", (_id, ));

Tetapi mudah untuk membuat kesilapan dengan membatalkan %% dalam teks apabila memasukkan %s, contohnya.

PILIH * DARI pentadbir DI MANA nama SEPERTI %s

Apabila pertanyaan selesai, ia akan kelihatan seperti ini.

PILIH * DARI pentadbir DI MANA nama 'MyTitle'

Ia sedang dilaksanakan dengan betul, tetapi saya mahu %% ditetapkan antara %s dan SUKA.

SELECT * FROM admin WHERE nama '%MyTitle%'

Bolehkah seseorang menerangkan cara menyelesaikan masalah ini?

Skrip mudah saya adalah seperti berikut:

daripada sambungan import django.db
tajuk = "myTitle"
query = "PILIH * DARI pentadbir DI MANA nama SEPERTI %s"
dengan connection.cursor() sebagai kursor:
     cursor.execute(pertanyaan, (tajuk,))

Answer 1

Sila semak halaman ini.

Apakah yang setara dengan SQL "LIKE" pada pertanyaan Django ORM?

Itulah cara ORM Django.

https://docs.djangoproject.com/en/4.2/topics/db/sql/

Beginilah cara Django mengendalikan pertanyaan mentah.

>>> query = "SELECT * FROM myapp_person WHERE last_name = %s" % lname
>>> Person.objects.raw(query)

Apa yang anda tunjukkan bukanlah kod Django, tetapi kod Python-MySQL tulen.

Dengan Python-MySQL anda boleh melakukannya seperti yang anda lakukan dan ia akan mengendalikan isu sebut harga dan suntikan.

Tetapi anda sepatutnya.

title_like = f"%{title}%"
cursor.execute(query, (title_like,))

title_like ialah rentetan padanan kabur.

mysql seperti rentetan yang mengandungi %