Django 文檔協作翻譯小組人手緊缺，有興趣的朋友可以加入我們，完全公益性質。

交流群：467338606

網站：http://python.usyiyi.cn/django/index.html

進行原始的sql查詢

在模型查詢API不夠用的情況下，你可以使用原始的sql語句。django提供兩種方法使用原始sql進行查詢：一種是使用Manager.raw()方法，進行原始查詢并返回模型實例；另一種是完全避開模型層，直接執行自定義的sql語句。

警告

編寫原始的sql語句時，應該格外小心。每次使用的時候，都要確保轉義了參數中的任何控制字符，以防受到sql注入攻擊。更多信息請參閱防止sql注入。

進行原始查詢

raw()方法用于原始的sql查詢，并返回模型的實例：

Manager.raw(raw_query, params=None, translations=None)

這個方法執行原始的sql查詢之后，返回django.db.models.query.RawQuerySet的實例。RawQuerySet實例可以像一般的QuerySet那樣，通過迭代來提供對象的實例。

這里最好通過例子展示一下，假設存在以下模型：

class Person(models.Model):
    first_name = models.CharField(...)
    last_name = models.CharField(...)
    birth_date = models.DateField(...)

你可以像這樣執行自定義的sql語句：

>>> for p in Person.objects.raw('SELECT * FROM myapp_person'):
...     print(p)
John Smith
Jane Jones

當然，這個例子不是特別有趣，和直接使用Person.objects.all()的結果一模一樣。但是，raw()擁有其它更強大的使用方法。

模型表的名稱

在上面的例子中，Person表的名稱是從哪里得到的？

通常，Django通過將模型的名稱和模型的“應用標簽”（你在manage.py startapp中使用的名稱）進行關聯，用一條下劃線連接他們，來組合表的名稱。在這里我們假定Person模型存在于一個叫做myapp的應用中，所以表就應該叫做myapp_person。

更多細節請查看db_table選項的文檔，它也可以讓你自定義表的名稱。

警告

傳遞給raw()方法的sql語句并沒有任何檢查。django默認它會返回一個數據集，但這不是強制性的。如果查詢的結果不是數據集，則會產生一個錯誤。

警告

如果你在mysql上執行查詢，注意在類型不一致的時候，mysql的靜默類型強制可能導致意想不到的結果發生。如果你在一個字符串類型的列上查詢一個整數類型的值，mysql會在比較前強制把每個值的類型轉成整數。例如，如果你的表中包含值'abc'和'def'，你查詢'where mycolumn=0'，那么兩行都會匹配。要防止這種情況，在查詢中使用值之前，要做好正確的類型轉換。

警告

雖然RawQuerySet可以像普通的QuerySet一樣迭代，RawQuerySet并沒有實現可以在QuerySet上使用的所有方法。例如，__bool__()和__len__()在RawQuerySet中沒有被定義，所以所有RawQuerySet轉化為布爾值的結果都是True。RawQuerySet中沒有實現他們的原因是，在沒有內部緩存的情況下會導致性能下降，而且增加內部緩存不向后兼容。

將查詢字段映射到模型字段

raw()方法自動將查詢字段映射到模型字段。

字段的順序并不重要。換句話說，下面兩種查詢的作用相同：

>>> Person.objects.raw('SELECT id, first_name, last_name, birth_date FROM myapp_person')
...
>>> Person.objects.raw('SELECT last_name, birth_date, first_name, id FROM myapp_person')
...

Django會根據名字進行匹配。這意味著你可以使用sql的as子句來映射二者。所以如果在其他的表中有一些Person數據，你可以很容易地把它們映射成Person實例。

>>> Person.objects.raw('''SELECT first AS first_name,
...                              last AS last_name,
...                              bd AS birth_date,
...                              pk AS id,
...                       FROM some_other_table''')

只要名字能對應上，模型的實例就會被正確創建。
又或者，你可以在raw()方法中使用翻譯參數。翻譯參數是一個字典，將表中的字段名稱映射為模型中的字段名稱、例如，上面的查詢可以寫成這樣：

>>> name_map = {'first': 'first_name', 'last': 'last_name', 'bd': 'birth_date', 'pk': 'id'}
>>> Person.objects.raw('SELECT * FROM some_other_table', translations=name_map)

索引訪問

raw()方法支持索引訪問，所以如果只需要第一條記錄，可以這樣寫：

>>> first_person = Person.objects.raw('SELECT * FROM myapp_person')[0]

然而，索引和切片并不在數據庫層面上進行操作。如果數據庫中有很多的Person對象，更加高效的方法是在sql層面限制查詢中結果的數量：

>>> first_person = Person.objects.raw('SELECT * FROM myapp_person LIMIT 1')[0]

延遲加載模型字段

字段也可以被省略：

>>> people = Person.objects.raw('SELECT id, first_name FROM myapp_person')

查詢返回的Person對象是一個延遲的模型實例（請見 defer()）。這意味著被省略的字段，在訪問時才被加載。例如:

>>> for p in Person.objects.raw('SELECT id, first_name FROM myapp_person'):
...     print(p.first_name, # This will be retrieved by the original query
...           p.last_name) # This will be retrieved on demand
...
John Smith
Jane Jones

從表面上來看，看起來這個查詢獲取了first_name和last_name。然而，這個例子實際上執行了3次查詢。只有first_name字段在raw()查詢中獲取，last_name字符按在執行打印命令時才被獲取。

只有一種字段不可以被省略，就是主鍵。Django 使用主鍵來識別模型的實例，所以它在每次原始查詢中都必須包含。如果你忘記包含主鍵的話，會拋出一個InvalidQuery異常。

增加注解

你也可以在查詢中包含模型中沒有定義的字段。例如，我們可以使用PostgreSQL的age()函數來獲得一群人的列表，帶有數據庫計算出的年齡。

>>> people = Person.objects.raw('SELECT *, age(birth_date) AS age FROM myapp_person')
>>> for p in people:
...     print("%s is %s." % (p.first_name, p.age))
John is 37.
Jane is 42.
...

向 raw() 方法中傳遞參數

如果你需要參數化的查詢，可以向raw() 方法傳遞params參數。

>>> lname = 'Doe'
>>> Person.objects.raw('SELECT * FROM myapp_person WHERE last_name = %s', [lname])

params是存放參數的列表或字典。你可以在查詢語句中使用%s占位符，或者對于字典使用%(key)占位符（key會被替換成字典中鍵為key的值），無論你的數據庫引擎是什么。這樣的占位符會被替換成參數表中正確的參數。

注意

SQLite后端不支持字典，你必須以列表的形式傳遞參數。

警告

不要在原始查詢中使用字符串格式化！

它類似于這種樣子：

>>> query = 'SELECT * FROM myapp_person WHERE last_name = %s' % lname
>>> Person.objects.raw(query)

使用參數化查詢可以完全防止sql注入，一種普遍的漏洞使攻擊者可以向你的數據庫中注入任何sql語句。如果你使用字符串格式化，早晚會受到sql輸入的攻擊。只要你記住默認使用參數化查詢，就可以免于攻擊。

直接執行自定義sql

有時Manager.raw()方法并不十分好用，你不需要將查詢結果映射成模型，或者你需要執行UPDATE、INSERT以及DELETE查詢。

在這些情況下，你可以直接訪問數據庫，完全避開模型層。

django.db.connection對象提供了常規數據庫連接的方式。為了使用數據庫連接，調用connection.cursor()方法來獲取一個游標對象之后，調用cursor.execute(sql, [params])來執行sql語句，調用cursor.fetchone()或者curser.fetchall()來返回結果行。

例如:

from django.db import connection

def my_custom_sql(self):
    cursor = connection.cursor()

    cursor.execute("UPDATE bar SET foo = 1 WHERE baz = %s", [self.baz])

    cursor.execute("SELECT foo FROM bar WHERE baz = %s", [self.baz])
    row = cursor.fetchone()

    return row

注意如果你的查詢中包含百分號字符，你需要寫成兩個百分號字符，以便能正確傳遞參數：

cursor.execute("SELECT foo FROM bar WHERE baz = '30%'")
cursor.execute("SELECT foo FROM bar WHERE baz = '30%%' AND id = %s", [self.id])

如果你使用了不止一個數據庫，你可以使用django.db.connections來獲取針對特定數據庫的連接（以及游標）對象。django.db.connections是一個類似于字典的對象，允許你通過它的別名獲取特定的連接

from django.db import connections
cursor = connections['my_db_alias'].cursor()
# Your code here...

通常，Python DB API會返回不帶字段的結果，這意味著你需要以一個列表結束，而不是一個字典。花費一點性能之后，你可以返回一個字典形式的結果，像這樣：

def dictfetchall(cursor):
    "Returns all rows from a cursor as a dict"
    desc = cursor.description
    return [
        dict(zip([col[0] for col in desc], row))
        for row in cursor.fetchall()
    ]

下面是一個體現二者區別的例子:

>>> cursor.execute("SELECT id, parent_id FROM test LIMIT 2");
>>> cursor.fetchall()
((54360982L, None), (54360880L, None))

>>> cursor.execute("SELECT id, parent_id FROM test LIMIT 2");
>>> dictfetchall(cursor)
[{'parent_id': None, 'id': 54360982L}, {'parent_id': None, 'id': 54360880L}]

連接和游標

連接和游標主要實現PEP 249中描述的Python DB API標準，除非它涉及到事務處理。

如果你不熟悉Python DB-API，注意cursor.execute()中的sql語句使用占位符"%s"，而不是直接在sql中添加參數。如果你使用它，下面的數據庫會在必要時自動轉義你的參數。

也要注意Django使用"%s"占位符，而不是SQLite Python綁定的"?"占位符。這是一致性和可用性的緣故。

Django 1.7中的改變。

PEP 249并沒有說明游標是否可以作為上下文管理器使用。在python2.7之前，游標可以用作上下文管理器，由于魔術方法lookups中意想不到的行為(Python ticket #9220)。Django 1.7 顯式添加了對允許游標作為上下文管理器使用的支持。

將游標作為上下文管理器使用:

with connection.cursor() as c:
    c.execute(...)

等價于：

c = connection.cursor()
try:
    c.execute(...)
finally:
    c.close()