13
使用Flask,我很想知道SQLAlchemy是否仍然是使用原始SQL(直接SELECT x FROM table WHERE ...)查詢我的數據庫而不是使用ORM或者是否有更簡單但功能強大的替代方法的最佳方法?如果僅用於原始sql查詢,SQLAlchemy仍然是推薦的嗎?
感謝您的回覆。
A
回答
17
我一直使用SQLAlchemy進行直接查詢。
主要優點:它爲您提供最佳的防範SQL注入攻擊。 SQLAlchemy不管你輸入什麼參數都會做正確的事情。
我發現它也可以根據條件調整生成的SQL。顯示上面有多個過濾器控件的結果集?只需在一組if/elif/else結構中構建你的查詢,你就知道你的SQL仍然是黃金。
下面是一些現場的代碼的摘錄(舊的SA版本,所以語法可能有點不同):
# Pull start and end dates from form
# ...
# Build a constraint if `start` and/or `end` have been set.
created = None
if start and end:
created = sa.sql.between(msg.c.create_time_stamp,
start.replace(hour=0, minute=0, second=0),
end.replace(hour=23, minute=59, second=59))
elif start:
created = (msg.c.create_time_stamp >=
start.replace(hour=0, minute=0, second=0))
elif end:
created = (msg.c.create_time_stamp <=
end.replace(hour=23, minute=59, second=59))
# More complex `from_` object built here, elided for example
# [...]
# Final query build
query = sa.select([unit.c.eli_uid], from_obj=[from_])
query = query.column(count(msg.c.id).label('sent'))
query = query.where(current_store)
if created:
query = query.where(created)
哪裏這個來自很多更復雜的代碼,但我想強調的日期範圍代碼在這裏。如果我必須使用字符串格式來構建SQL,那麼我可能會在某處引入SQL注入漏洞,因爲忘記引用值更容易。
1
在我開發了我的一個小項目之後,我決定嘗試僅使用MySQLDB,而不使用SQL Alchemy。
它工作正常,它是很容易使用,這裏是一個例子(我創建了一個小的類來處理所有的工作到數據庫)
import MySQLdb
from MySQLdb.cursors import DictCursor
class DatabaseBridge():
def __init__(self, *args, **kwargs):
kwargs['cursorclass'] = DictCursor
self.cnx = MySQLdb.connect (**kwargs)
self.cnx.autocommit(True)
self.cursor = self.cnx.cursor()
def query_all(self, query, *args):
self.cursor.execute(query, *args)
return self.cursor.fetchall()
def find_unique(self, query, *args):
rows = self.query_all(query, *args);
if len(rows) == 1:
return rows[0]
return None
def execute(self, query, params):
self.cursor.execute(query, params)
return self.cursor.rowcount
def get_last_id(self):
return self.cnx.insert_id()
def close(self):
self.cursor.close()
self.cnx.close()
database = DatabaseBridge(**{
'user': 'user',
'passwd': 'password',
'db': 'my_db'
})
rows = database.query_all("SELECT id, name, email FROM users WHERE is_active = %s AND project = %s", (1, "My First Project"))
(這是一個愚蠢的例子)。
它的工作原理就像一個魅力但,你必須考慮這些因素:不支持
- 多線程!如果你不使用Python的
multiprocessing也行。 - 您不會擁有SQLAlchemy(數據庫到類(模型)包裝器,查詢生成(select,where,order_by等))的所有優點。 這是關於如何使用數據庫的關鍵。
但在另一方面,像SQLAlchemy的,有保護agains't SQL注入攻擊:
一個基本的查詢會是這樣的:
cursor.execute("SELECT * FROM users WHERE data = %s" % "Some value") # THIS IS DANGEROUS
但是,你應該做的:
cursor.execute("SELECT * FROM users WHERE data = %s", "Some value") # This is secure!
看到區別?再讀一遍;)
不同之處在於我用,替換了%:我們將參數作爲參數傳遞給execute,並且這些都被轉義了。當使用%時,參數不會被轉義,從而導致SQL注入攻擊!
這裏的最後一句話是,它取決於您的使用情況以及您計劃如何處理您的項目。對我而言,SQLAlchemy過於誇張(這是一個基本的shell腳本!),所以MysqlDB非常完美。
相關問題
- 1. sqlalchemy - 執行原始的sql查詢
- 2. SQLAlchemy(ORM)與原始SQL查詢
- 3. 將原始SQL轉換爲SQLAlchemy查詢
- 4. 是遺留的Criteria API仍然推薦?
- 5. 在JavaScript中仍然不推薦使用「新建」嗎?
- 6. 如何將此原始SQL轉換爲sqlalchemy查詢?
- 7. 是否仍然不推薦使用Neo4j的內部ID?
- 8. Django的原始SQL查詢
- 9. VS2005和VS2008支持的不推薦/ clr:oldSyntax是否仍然適用於VS2010?
- 10. SQLAlchemy可以獨立於框架使用嗎?是否推薦使用?
- 11. Django:Paginator +原始SQL查詢
- 12. CakePHP 3原始SQL查詢
- 13. 我仍然應該看到SQL Profiler中的查詢命中嗎?
- 14. Android的原始查詢結果檢查
- 15. sql搜索查詢仍然沒有產生預期的結果
- 16. 哪一層用於使用NPoco的原始SQL查詢?
- 17. SQL鍊金術的性能,如果只用於原始的SQL?
- 18. 僅適用於登錄頁面的HTTPS - 是否推薦?
- 19. 原始的SQL SQLAlchemy的語法
- 20. 使用Django執行原始SQL查詢
- 21. 在ORM查詢中使用原始SQL
- 22. 你能推薦一本關於原型繼承的好書嗎?
- 23. SQLAlchemy的日期作爲原始SQL
- 24. 推進:從查詢對象獲取原始SQL?
- 25. .net中的原始sql查詢文本
- 26. Django中的原始SQL查詢
- 27. Django視圖中的原始sql查詢
- 28. SQL-wrappers(activerecord)推薦用於python?
- 29. 檢查如果結果是sql查詢
- 30. 更多(更少的CSS插件的Rails)仍然推薦?