我正在尝试使用flask-sqlalchemy查询动态创建order_by语句。
这是我的PurchaseOrder方法的调用:
pos = PurchaseOrder.get_all_pos(column_order=['id', 'due_date'])
column_order可以有一个或多个列,我们用它来对查询结果进行排序。
class PurchaseOrder(PurchaseOrderDB):
@classmethod
def get_all_pos(cls, **kwargs):
columns = kwargs.pop('column_order', '')
columns_order = [getattr(cls, column) for column in columns]
if len(columns_order) != 0:
pos = cls.query.order_by(columns_order).all()
else:
pos = cls.query.all()
return pos
columns_order是InstrumentedAttributes的列表,当我将该列表传递给order_by()方法时,我得到了我预期的以下错误:
sqlalchemy.exc.ArgumentError: SQL expression object or string expected, got object of type <class 'list'> instead
那么,当我们不知道传入了多少列时,还有其他方法可以动态创建order_by吗?在这种情况下,查询应如下所示:
pos = cls.query.order_by(cls.id, cls.due_date).all()
我已经使用text()方法解决了这个问题(如上面问题的评论中的@shmee注释)。
我更改了作为column_order传递的参数类型(现在它是一个字符串)
pos = PurchaseOrder.get_all_pos(column_order='id, due_date')
您还可以在每个列名称之后使用asc或desc(升序或降序)顺序:
pos = PurchaseOrder.get_all_pos(column_order='id desc, due_date asc')
我也对我的方法做了一些重构,所以现在它工作正常。
class PurchaseOrder(PurchaseOrderDB):
@classmethod
def get_all_pos(cls, **kwargs):
columns_order = kwargs.pop('columns_order', '')
if columns_order:
return cls.query.order_by(text(columns_order)).all()
else:
return cls.query.all()
这是text()文档:https://docs.sqlalchemy.org/en/13/core/sqlelement.html#sqlalchemy.sql.expression.text
此外,text()的text.text参数可以作为Python字符串参数传递,该参数将被视为可信SQL文本并呈现为给定。不要将不受控制的输入传递给此参数。
这意味着您必须只传递受信任的SQL字符串。在我的情况下,我只传递硬编码字符串。例如,如果您使用来自应用程序用户的字符串,则该字符串可能包含一些不需要的SQL注入。
所以总是验证用户定义的字符串。