在带参数的游标/查询中使用&quot；like&quot；(Django)

问题描述

我知道这可能是件蠢事，但我决定无论如何都要问。

我一直在尝试查询类似以下内容：

 cursor.execute("select col1, col2   
                    from my_tablem 
                    where afield like '%%s%'
                    and secondfield = %s
                    order by 1 desc " % (var1, var2) )

但我在LIKE语句中得到了一个错误。它不喜欢获取包含第一个%s值的所有结果所需的额外%。

想法？

TIA！

---

解决方案

首先，为什么不使用Django ORM进行此操作？

MyClass.objects.filter( aField__contains=var1, secondField__exact=var2 )

第二，确保您获得的是您期望的SQL。

stmt= "select... afield like '%%%s%%' and secondfield = '%s'..." % ( var1, var2 )
print stmt
cursor.execute( stmt )

第三，您的方法有一个称为SQL注入攻击的安全漏洞。您真的不应该这样做SQL。

如果您绝对必须在Django的ORM之外执行操作，则必须在查询中使用绑定变量，而不是字符串替换。请参阅http://docs.djangoproject.com/en/dev/topics/db/sql/#performing-raw-sql-queries。