首页  >  问答  >  正文

Django 的 LIKE 操作。

<p>我正在尝试通过 Django 的 Python 发送一个查询,我还试图阻止任何 SQL 注入攻击。<br /><br />有人可以解释一下如何进行消息传递吗?例如,LIKE 查询的示例。</p><p><br /></p> <pre class="brush:php;toolbar:false;">"SELECT * FROM admin WHERE name LIKE '%myTitle%'</pre> <p>很容易配置像这样的查询。</p> <p><code>cursor.execute("SELECT * FROM admin WHERE name= %s", (_id, ))</code>;</p> <p>但是在插入 %s 时,取消文本中的 %% 很容易出错,例如。</p> <pre class="brush:php;toolbar:false;">SELECT * FROM admin WHERE name LIKE %s</pre> <p>当查询完成时,它会像这样。</p> <pre class="brush:php;toolbar:false;">SELECT * FROM admin WHERE name 'MyTitle'</pre> <p>它正在正确地实现,但我希望在 %s 和 LIKE 之间设置 %%。</p> <pre class="brush:php;toolbar:false;">SELECT * FROM admin WHERE name '%MyTitle%'</pre> <p>有人可以解释一下如何解决这个问题吗?<br /><br />我的简单脚本如下:</p><p><br /></p> <pre class="brush:php;toolbar:false;">from django.db import connection title = "myTitle" query = "SELECT * FROM admin WHERE name LIKE %s" with connection.cursor() as cursor: cursor.execute(query, (title,))</pre> <p><br /></p>
P粉425119739P粉425119739465 天前482

全部回复(1)我来回复

  • P粉293550575

    P粉2935505752023-08-03 13:21:22

    请检查这个页面。

    What is the SQL ''LIKE" equivalent on Django ORM queries?

    那是 Django 的 ORM 方式。

    https://docs.djangoproject.com/en/4.2/topics/db/sql/

    这是 Django 处理原始查询的方式。

    >>> query = "SELECT * FROM myapp_person WHERE last_name = %s" % lname
    >>> Person.objects.raw(query)

    您展示的不是 Django 代码,而是纯粹的 Python-MySQL 代码。

    对于 Python-MySQL,您可以按照您所做的方式处理,并且它会处理引号和注入问题。

    但是您应该这样做。


    title_like = f"%{title}%"
    cursor.execute(query, (title_like,))

    title_like 是一个模糊匹配的字符串。

    mysql like string which contains %

    回复
    0
  • 取消回复