我正在尝试在sqlalchemy的having子句中使用标签,但是我在使用它时遇到了问题。我正在尝试这样的事情:
qry = db.session.query(
Foo.id,
Foo.name,
(Foo.max_stuff - func.sum(Bar.stuff)).label('rstuff')
).join(Bar) \
.group_by(Foo.id) \
.having('rstuff' >= "some_data_passed_in_by_customer")
for res in qry.all():
print res
但是得到错误:
sqlalchemy.exc.ArgumentError: having() argument must be of type sqlalchemy.sql.ClauseElement or string
如果我尝试将having语句更改为:
.having('rstuff >= "some_data_passed_in_by_customer"')
然后它似乎工作正常,但我猜这将导致SQL注入漏洞。我可以通过原始sql来做到这一点,但如果可以,我想避免这样做。有什么想法吗?
答案 0 :(得分:3)
尝试以下两个版本中的任何一个(不确定第二个版本是否适用于MySQL):
rstuff = (Foo.max_stuff - db.func.sum(Bar.stuff))
qry = (
db.session.query(
Foo.id,
Foo.name,
rstuff.label('rstuff')
)
.join(Bar)
.group_by(Foo.id)
# version-1: probably universal, but repeats the expression
.having(rstuff >= 3)
# version-2: might depend on the RMDBS engine
# .having(db.literal_column('rstuff') >= 3)
)