最近发布代码的时候,遇到一个问题,发现Python中eval()函数的危险性.然而我还是个菜鸟,其中有一段代码是这样的。
queryset = eval("models.TUserInfo.objects.filter({0})[{1}:{2}]".format(select,page_num * page - page_num,page_num * page))
代码场景:
这是一个获取信息的API.所以需要去数据库里取对应信息,但是你不知道获取信息是根据哪几个字段而来,需要靠用户传入,在这里eval()函数就提供给某些人员很好的入侵性.所以用了另外一种方式去改良代码.
filter(**kwargs): 它包含了与所给筛选条件相匹配的对象
条件查询
条件可以是:参数,字典,Q
def filter(self, *args, **kwargs): """ Returns a new QuerySet instance with the args ANDed to the existing set. """ return self._filter_or_exclude(False, *args, **kwargs)
于是乎,便改用了字典传值的方式.避免了先将代码字符串化,然后在将其代码化。
用**dict调用,dict必须是一个字典。
queryset = models.TUserInfo.objects.filter(**field_dict)[page_num * page - page_num:page_num * page]
因为没有想到用其它方式来运用orm,所以有些新奇,用字典传值也不失为一种良好运用。
补充知识:django orm查询中filter与get的区别
输入参数:
get的参数只能是model中定义的哪些字段,只支持严格匹配
filter的参数可以是字段也可以是扩展的where查询关键字,如in,like
返回值:
get返回值是一个定义的model对象
filter返回值是一个新的QuerySet对象,然后可以对QuerySet在进行查询返回新的QuerySet对象,支持链式操作,QuerySet一个集合对象,可使用迭代或者遍历,切片等,但是不等于list类型(是一个object对象集合)
异常:
get只有一条记录返回的时候才正常,也就是说明get查询字段必须是主键或者唯一约束的字段。当返回多条记录或者没有找到记录的时候都会抛出异常
get方法是从数据库的取得一个匹配的结果,返回一个对象,如果记录不存在的话,它会报错,有多条记录也会报错。
filter有没有匹配的记录都可以
filter方法是从数据库的取得匹配的结果,返回一个对象列表,如果记录不存在的话,它会返回[]。
另外,从别的资料里看到filter好像有缓存数据的功能,第一次查询数据库并生成缓存,下次再调用filter方法的话,直接取得缓存的数据,会get方法每次执行都是直接查询数据库的,不知道这个是不是正确,看看就好。