dynamically parameter passing in sql where query best practices
搞定了 select columns 的动态列查询,接着就该来搞定 where and or 的动态参数化查询了。
猛一想,where 这部分的参数化查询,如果我用 pymysql 的 cursor,或者用 SQLAlchemy 的 engine 或者 session 直接调用 execute 执行文本语句,也是可以给语句的 where 参数动态传参的呀?
不,我说的更进一步的:除了参数可以动态传入,我想要 where 语句也要动态改变,即动态条件查询。
可能要是没辙的话 大多数都跑去冒着 sql 注入的危险,启用文本格式化工具来写一堆条件来动态拼接语句了。
不说最后拼出来的对不对,开发效率、调试速度,总要顾及一下吧?
之前的动态列查询使用了 SQLAlchemy Core 里面 select 工具,通过可以定义单个 column 的办法动态处理得到供 select 使用的 columns,实现无论你要多少列,要什么不要什么,都可以通过列名称参数进行动态地处理得到,具体再多去写一些实际需求,应该就会熟练上手了。
而 where 的动态化,你基本也想到了,还是会在 select 这个工具下面来进行。
看官方的写法:
s = select([users, addresses]).where(users.c.id == addresses.c.user_id)
不过目前写后台 API 程序的话,基本上可能会这么写:
s = select([users, addresses]).where(users.c['id'] == addresses.c['user_id'])
然后再把这里的字符根据情况使用变量名替换掉。
上面的 where 只有一个条件,如果有多个条件,要用到连接符了,同时也有提供专门的连接词来处理:
from sqlalchemy.sql import and_, or_, not_
and_(
users.c['name'].like('j%'),
users.c['id'] == addresses.c['user_id'],
or_(
addresses.c['email_address'] == 'wendy@aol.com',
addresses.c['email_address'] == 'jack@yahoo.com'
),
not_(users.c['id'] > 5)
)
相对应的三个连接符就是:&、|、~
不过目前来看,我会更喜欢连接词方式,为啥,因为要动态化呀,嗯?没看出来咋搞?这样:
clauses = []
clauses.append(users.c['name'].like('j%'))
clauses.append(users.c['id'] == addresses.c['user_id'])
s = select([users, addresses]).where(and_(*clauses))
重点就在这个星号 *,标准的 *args 赋值模式,对吧。这样你就可以自由地去操作 clauses 这个列表了,根据不同的情况,动态地往里面加任何可以加的查询条件,甚至嵌套几层 and_ , or_ , not_ 进去都是可以的。
好了,基本就这样了,更多细节,其实要自己真的去尝试写了才会有概念,这里仅是做个笔记。