Django 的 LIKE 操作。

Question

我正在嘗試透過 Django 的 Python 發送查詢，我還試圖阻止任何 SQL 注入攻擊。

有人可以解釋如何進行訊息傳遞嗎？例如，LIKE 查詢的範例。

"SELECT * FROM admin WHERE name LIKE '%myTitle%'

很容易配置像這樣的查詢。

cursor.execute("SELECT * FROM admin WHERE name= %s", (_id, ));

但插入 %s 時，取消文字中的 %% 很容易出錯，例如。

SELECT * FROM admin WHERE name LIKE %s

當查詢完成時，它會像這樣。

SELECT * FROM admin WHERE name 'MyTitle'

它正在正確地實現，但我希望在 %s 和 LIKE 之間設置 %%。

SELECT * FROM admin WHERE name '%MyTitle%'

有人可以解釋如何解決這個問題嗎？

我的簡單腳本如下：

from django.db import connection
title = "myTitle"
query = "SELECT * FROM admin WHERE name LIKE %s"
with connection.cursor() as cursor:
     cursor.execute(query, (title,))

Answer 1

請檢查這個頁面。

What is the SQL ''LIKE" equivalent on Django ORM queries?

那是 Django 的 ORM 方式。

https://docs.djangoproject.com/en/4.2/topics/db/sql/

#

這是 Django 處理原始查詢的方式。

>>> query = "SELECT * FROM myapp_person WHERE last_name = %s" % lname
>>> Person.objects.raw(query)

您展示的不是 Django 程式碼，而是純粹的 Python-MySQL 程式碼。

對於 Python-MySQL，您可以按照您所做的方式處理，並且它會處理引號和注入問題。

但是您應該這樣做。

title_like = f"%{title}%"
cursor.execute(query, (title_like,))

title_like 是一個模糊匹配的字串。

mysql like string which contains %