在模型查詢API不夠用的情況下,你可以使用原始的sql語句�。django提供兩種方法使用原始sql進行查詢:一種是使用Manager.raw()方法,進行原始查詢并返回模型實例���;另一種是完全避開模型層�,直接執(zhí)行自定義的sql語句。
警告
編寫原始的sql語句時���,應(yīng)該格外小心���。每次使用的時候,都要確保轉(zhuǎn)義了參數(shù)中的任何控制字符�,以防受到sql注入攻擊。更多信息請參閱防止sql注入�����。
進行原始查詢
raw()方法用于原始的sql查詢����,并返回模型的實例:
Manager.raw(raw_query, params=None, translations=None)
這個方法執(zhí)行原始的sql查詢之后,返回django.db.models.query.RawQuerySet的實例�����。RawQuerySet實例可以像一般的QuerySet那樣���,通過迭代來提供對象的實例��。
這里最好通過例子展示一下�����,假設(shè)存在以下模型:
class Person(models.Model):
first_name = models.CharField(...)
last_name = models.CharField(...)
birth_date = models.DateField(...)
你可以像這樣執(zhí)行自定義的sql語句:
>>> for p in Person.objects.raw('SELECT * FROM myapp_person'):
... print(p)
John Smith
Jane Jones
當然�����,這個例子不是特別有趣��,和直接使用Person.objects.all()的結(jié)果一模一樣�����。但是�,raw()擁有其它更強大的使用方法。
模型表的名稱
在上面的例子中���,Person表的名稱是從哪里得到的?
通常���,Django通過將模型的名稱和模型的“應(yīng)用標簽”(你在manage.py startapp中使用的名稱)進行關(guān)聯(lián)��,用一條下劃線連接他們���,來組合表的名稱���。在這里我們假定Person模型存在于一個叫做myapp的應(yīng)用中,所以表就應(yīng)該叫做myapp_person��。
更多細節(jié)請查看db_table選項的文檔�����,它也可以讓你自定義表的名稱���。
警告
傳遞給raw()方法的sql語句并沒有任何檢查�����。django默認它會返回一個數(shù)據(jù)集�,但這不是強制性的�。如果查詢的結(jié)果不是數(shù)據(jù)集,則會產(chǎn)生一個錯誤����。
警告
如果你在mysql上執(zhí)行查詢,注意在類型不一致的時候���,mysql的靜默類型強制可能導(dǎo)致意想不到的結(jié)果發(fā)生����。如果你在一個字符串類型的列上查詢一個整數(shù)類型的值,mysql會在比較前強制把每個值的類型轉(zhuǎn)成整數(shù)�。例如,如果你的表中包含值'abc'和'def'�����,你查詢'where mycolumn=0'����,那么兩行都會匹配。要防止這種情況�����,在查詢中使用值之前���,要做好正確的類型轉(zhuǎn)換���。
警告
雖然RawQuerySet可以像普通的QuerySet一樣迭代����,RawQuerySet并沒有實現(xiàn)可以在QuerySet上使用的所有方法��。例如����,__bool__()和__len__()在RawQuerySet中沒有被定義��,所以所有RawQuerySet轉(zhuǎn)化為布爾值的結(jié)果都是True���。RawQuerySet中沒有實現(xiàn)他們的原因是�,在沒有內(nèi)部緩存的情況下會導(dǎo)致性能下降���,而且增加內(nèi)部緩存不向后兼容�����。
將查詢字段映射到模型字段
raw()方法自動將查詢字段映射到模型字段�����。
字段的順序并不重要����。換句話說,下面兩種查詢的作用相同:
>>> Person.objects.raw('SELECT id, first_name, last_name, birth_date FROM myapp_person')
...
>>> Person.objects.raw('SELECT last_name, birth_date, first_name, id FROM myapp_person')
...
Django會根據(jù)名字進行匹配�����。這意味著你可以使用sql的as子句來映射二者�����。所以如果在其他的表中有一些Person數(shù)據(jù)��,你可以很容易地把它們映射成Person實例��。
>>> Person.objects.raw('''SELECT first AS first_name,
... last AS last_name,
... bd AS birth_date,
... pk AS id,
... FROM some_other_table''')
只要名字能對應(yīng)上�,模型的實例就會被正確創(chuàng)建。
又或者��,你可以在raw()方法中使用翻譯參數(shù)����。翻譯參數(shù)是一個字典,將表中的字段名稱映射為模型中的字段名稱�、例如,上面的查詢可以寫成這樣:
>>> name_map = {'first': 'first_name', 'last': 'last_name', 'bd': 'birth_date', 'pk': 'id'}
>>> Person.objects.raw('SELECT * FROM some_other_table', translations=name_map)
索引訪問
raw()方法支持索引訪問����,所以如果只需要第一條記錄�����,可以這樣寫:
>>> first_person = Person.objects.raw('SELECT * FROM myapp_person')[0]
然而,索引和切片并不在數(shù)據(jù)庫層面上進行操作�。如果數(shù)據(jù)庫中有很多的Person對象,更加高效的方法是在sql層面限制查詢中結(jié)果的數(shù)量:
>>> first_person = Person.objects.raw('SELECT * FROM myapp_person LIMIT 1')[0]
延遲加載模型字段
字段也可以被省略:
>>> people = Person.objects.raw('SELECT id, first_name FROM myapp_person')
查詢返回的Person對象是一個延遲的模型實例(請見 defer())���。這意味著被省略的字段�����,在訪問時才被加載��。例如:
>>> for p in Person.objects.raw('SELECT id, first_name FROM myapp_person'):
... print(p.first_name, # This will be retrieved by the original query
... p.last_name) # This will be retrieved on demand
...
John Smith
Jane Jones
從表面上來看����,看起來這個查詢獲取了first_name和last_name���。然而����,這個例子實際上執(zhí)行了3次查詢。只有first_name字段在raw()查詢中獲取���,last_name字符按在執(zhí)行打印命令時才被獲取����。
只有一種字段不可以被省略��,就是主鍵�����。Django 使用主鍵來識別模型的實例�����,所以它在每次原始查詢中都必須包含��。如果你忘記包含主鍵的話�,會拋出一個InvalidQuery異常。
增加注解
你也可以在查詢中包含模型中沒有定義的字段����。例如,我們可以使用PostgreSQL的age()函數(shù)來獲得一群人的列表�����,帶有數(shù)據(jù)庫計算出的年齡。
>>> people = Person.objects.raw('SELECT *, age(birth_date) AS age FROM myapp_person')
>>> for p in people:
... print("%s is %s." % (p.first_name, p.age))
John is 37.
Jane is 42.
...
向 raw() 方法中傳遞參數(shù)
如果你需要參數(shù)化的查詢���,可以向raw() 方法傳遞params參數(shù)�����。
>>> lname = 'Doe'
>>> Person.objects.raw('SELECT * FROM myapp_person WHERE last_name = %s', [lname])
params是存放參數(shù)的列表或字典。你可以在查詢語句中使用%s占位符�����,或者對于字典使用%(key)占位符(key會被替換成字典中鍵為key的值)�,無論你的數(shù)據(jù)庫引擎是什么。這樣的占位符會被替換成參數(shù)表中正確的參數(shù)���。
注意
SQLite后端不支持字典��,你必須以列表的形式傳遞參數(shù)�。
警告
不要在原始查詢中使用字符串格式化��!
它類似于這種樣子:
>> query = 'SELECT * FROM myapp_person WHERE last_name = %s' % lname
>> Person.objects.raw(query)
使用參數(shù)化查詢可以完全防止sql注入�,一種普遍的漏洞使攻擊者可以向你的數(shù)據(jù)庫中注入任何sql語句��。如果你使用字符串格式化�����,早晚會受到sql輸入的攻擊���。只要你記住默認使用參數(shù)化查詢,就可以免于攻擊��。
直接執(zhí)行自定義sql
有時Manager.raw()方法并不十分好用�,你不需要將查詢結(jié)果映射成模型,或者你需要執(zhí)行UPDATE����、INSERT以及DELETE查詢。
在這些情況下�,你可以直接訪問數(shù)據(jù)庫,完全避開模型層����。
django.db.connection對象提供了常規(guī)數(shù)據(jù)庫連接的方式。為了使用數(shù)據(jù)庫連接����,調(diào)用connection.cursor()方法來獲取一個游標對象之后��,調(diào)用cursor.execute(sql, [params])來執(zhí)行sql語句���,調(diào)用cursor.fetchone()或者curser.fetchall()來返回結(jié)果行。
例如:
from django.db import connection
def my_custom_sql(self):
cursor = connection.cursor()
cursor.execute("UPDATE bar SET foo = 1 WHERE baz = %s", [self.baz])
cursor.execute("SELECT foo FROM bar WHERE baz = %s", [self.baz])
row = cursor.fetchone()
return row
注意如果你的查詢中包含百分號字符�,你需要寫成兩個百分號字符,以便能正確傳遞參數(shù):
cursor.execute("SELECT foo FROM bar WHERE baz = '30%'")
cursor.execute("SELECT foo FROM bar WHERE baz = '30%%' AND id = %s", [self.id])
如果你使用了不止一個數(shù)據(jù)庫����,你可以使用django.db.connections來獲取針對特定數(shù)據(jù)庫的連接(以及游標)對象。django.db.connections是一個類似于字典的對象�����,允許你通過它的別名獲取特定的連接
from django.db import connections
cursor = connections['my_db_alias'].cursor()
# Your code here...
通常�����,Python DB API會返回不帶字段的結(jié)果��,這意味著你需要以一個列表結(jié)束���,而不是一個字典?�;ㄙM一點性能之后,你可以返回一個字典形式的結(jié)果����,像這樣:
def dictfetchall(cursor):
"Returns all rows from a cursor as a dict"
desc = cursor.description
return [
dict(zip([col[0] for col in desc], row))
for row in cursor.fetchall()
]
下面是一個體現(xiàn)二者區(qū)別的例子:
>>> cursor.execute("SELECT id, parent_id FROM test LIMIT 2");
>>> cursor.fetchall()
((54360982L, None), (54360880L, None))
>>> cursor.execute("SELECT id, parent_id FROM test LIMIT 2");
>>> dictfetchall(cursor)
[{'parent_id': None, 'id': 54360982L}, {'parent_id': None, 'id': 54360880L}]
連接和游標
連接和游標主要實現(xiàn)PEP 249中描述的Python DB API標準,除非它涉及到事務(wù)處理�����。
如果你不熟悉Python DB-API���,注意cursor.execute()中的sql語句使用占位符"%s"��,而不是直接在sql中添加參數(shù)��。如果你使用它����,下面的數(shù)據(jù)庫會在必要時自動轉(zhuǎn)義你的參數(shù)����。
也要注意Django使用"%s"占位符,而不是SQLite Python綁定的"?"占位符��。這是一致性和可用性的緣故���。
Django 1.7中的改變����。
PEP 249并沒有說明游標是否可以作為上下文管理器使用。在python2.7之前�����,游標可以用作上下文管理器���,由于魔術(shù)方法lookups中意想不到的行為(Python ticket #9220)���。Django 1.7 顯式添加了對允許游標作為上下文管理器使用的支持。
將游標作為上下文管理器使用:
with connection.cursor() as c:
c.execute(...)
等價于:
c = connection.cursor()
try:
c.execute(...)
finally:
c.close()
