在找到一个解决方案,Django ORM order by exact的过程中,我创建自定义DJANGO FUNC:Django的自定义为复杂的函数功能(SQL函数)
from django.db.models import Func
class Position(Func):
function = 'POSITION'
template = "%(function)s(LOWER('%(substring)s') in LOWER(%(expressions)s))"
template_sqlite = "instr(lower(%(expressions)s), lower('%(substring)s'))"
def __init__(self, expression, substring):
super(Position, self).__init__(expression, substring=substring)
def as_sqlite(self, compiler, connection):
return self.as_sql(compiler, connection, template=self.template_sqlite)
其工作原理如下:
class A(models.Model):
title = models.CharField(max_length=30)
data = ['Port 2', 'port 1', 'A port', 'Bport', 'Endport']
for title in data:
A.objects.create(title=title)
search = 'port'
qs = A.objects.filter(
title__icontains=search
).annotate(
pos=Position('title', search)
).order_by('pos').values_list('title', flat=True)
# result is
# ['Port 2', 'port 1', 'Bport', 'A port', 'Endport']
但作为@hynekcer评论:
“这崩溃容易通过
') in '') from myapp_suburb; drop ...
预计该应用程序的名称是“MYAPP并自动提交已启用。”
的主要问题是,额外的数据(substring
)钻进模板而不sqlescape这让应用程序容易受到SQL注入式攻击。
我无法找到哪个是Django的防护方法。
我创建了一个repo (djposfunc),您可以在其中测试任何解决方案。
对不起,我在本地回答了这个安全问题,然后等待解决问题。现在我写了对原始问题的正常答案。 – hynekcer