4.3 嵌套查找 4.4 参数说明 4.5 自定义过滤器 一、普通过滤 REST 框架的通用列表视图的默认行为是返回模型管理器的整个查询集。...通常,您希望 API 限制查询集返回的项目。 筛选子类的任何视图的查询集的最简单方法是重写该方法。...1.针对当前用户进行筛选 您可能希望筛选查询集,以确保仅返回与发出请求的当前经过身份验证的用户相关的结果。 为此,可以基于用户值进行筛选。...筛选初始查询集的最后一个示例是根据 url 中的查询参数确定初始查询集。...除了能够重写默认查询集之外,REST 框架还包括对通用筛选后端的支持,这些后端允许您轻松构造复杂的搜索和筛选器。
第一种方法是从整个QuerySet生成摘要值。例如,想计算所有在售图书的平均价格。Django的查询语法提供了一种描述所有藏书的方法。 传递给聚合()的参数描述了要计算的聚合值。...使用后,它将返回一个“name value”字典,其中“name”是聚合值的标志,“value”是计算的聚合结果。名称是根据字段名称和聚合函数自动生成的。...但是,有时要聚合的值属于所查询模型的关联模型。 在聚合函数中指定聚合字段时,Django允许您在筛选相关字段时使用相同的双下划线符号。Django将处理需要检索和聚合相关值的任何表连接。...在第一个查询中,注释优先于过滤器,因此过滤器不会影响注释。Distinct=True用于避免查询错误。 第二个查询查询每个出版商得分超过3的图书数量。...过滤器优先于注释,因此过滤器限制了计算注释时要考虑的对象。 第一个查询请求具有至少一本得分大于3的书的平均得分。第二个查询仅请求得分超过3的作者书的平均分数。
SQL是专为数据库而建立的操作命令集,是一种功能齐全的数据库语言。 在使用它时,只需要发出“做什么”的命令,“怎么做”是不用使用者考虑的。...from tab_name -- 其中from指定从哪张表筛选,*表示查找所有列,也可以指定一个列 -- 表明确指定要查找的列,distinct用来剔除重复行.../* having 和 where两者都可以对查询结果进行进一步的过滤,差别有: where语句只能用在分组之前的筛选...带比较运算符的子查询 -- =、!...带EXISTS关键字的子查询 -- EXISTS关字键字表示存在。在使用EXISTS关键字时,内层查询语句不返回查询的记录。 -- 而是返回一个真假值。
要求 修改数据库 Django shell 数据级联(一对多) 元信息 定义字段 模型过滤 创建对象4种方式 查询集 过滤器 获取单个对象 字段查询 时间 聚合函数 跨关系查询 F对象 Q对象...Django有两种过滤器用于筛选记录: filter:返回符合筛选条件的数据集 exclude :返回不符合筛选条件的数据集 链式调用: 多个filter和exclude可以连接在一起查询 Person.objects.filter...概念:查询集表示从数据库获取的对象集合,查询集可以有多个过滤器。...过滤器:过滤器就是一个函数,基于所给的参数限制查询集结果,返回查询集的方法称为过滤器。 查询经过过滤器筛选后返回新的查询集,所以可以写成链式调用。...第二个参数是limit 懒查询/缓存集 查询集的缓存:每个查询集都包含一个缓存,来最小化对数据库的访问 在新建的查询集中,缓存首次为空,第一次对查询集求值,会发生数据缓存,django会将查询出来的数据做
Min, Sum, Avg >>> Publisher.objects.annotate(Count('book')) 返回的QuerySet的每个publisher都会带一个属性book_count。...="Django").aggregate(Avg('price')) 可以根据聚合值进行筛选: >>> Book.objects.annotate(num_authors=Count('authors'...但是第一个查询的注解包含其该出版商发行的所有图书的总数;而第二个查询的注解只包含出版过好书的出版商的所发行的好书(评分大于3分)总数。在第一个查询中,注解在过滤器之前,所以过滤器对注解没有影响。...在第二个查询中,过滤器在注解之前,所以,在计算注解值时,过滤器就限制了参与运算的对象的范围 order_by() 可以根据聚合值进行排序 >>> Book.objects.annotate(num_authors...=Count('authors')).order_by('num_authors') values() 通常,注解annotate是添加到每一个对象上的,一个执行了注解操作的查询集 QuerySet 所返回的结果中
("book__title") ManyToManyField class RelatedManager "关联管理器"是在一对多或者多对多的关联上下文中使用的管理器。...键的名称是聚合值的标识符,值是计算出来的聚合值。键的名称是按照字段和聚合函数的名称自动生成出来的。...': '小魔女', 'sum_price': Decimal('9.90')}]> F查询和Q查询 F查询 在上面所有的例子中,我们构造的过滤器都只是将字段值与某个常量做比较。...如果我们要对两个字段的值做比较,那该怎么做呢? Django 提供 F() 来做这样的比较。F() 的实例可以在查询中引用字段,来比较同一个 model 实例中两个不同字段的值。...所有提供给查询函数的参数(关键字参数或Q 对象)都将"AND”在一起。但是,如果出现Q 对象,它必须位于所有关键字参数的前面。 例如:查询出版年份是2017或2018,书名中带物语的所有书。
0x01 什么是JSONField Django是一个大而全的Web框架,其支持很多数据库引擎,包括Postgresql、Mysql、Oracle、Sqlite3等,但与Django天生为一对儿的数据库莫过于...根据上面的分析可知,transform是生成SQL查询中“键名”的部分,那么如果我们控制了queryset查询的键名,即可注入任意SQL语句了。...但是熟悉Django的同学也应该知道,Django的queryset使用方法是编写如下查询语句: .filter(detail__author='phith0n') 这个detail__author用户是无法控制的...0x04 Django-Admin SQL注入漏洞 我们创建一个Django项目并创建一个model,其中包含一个JSONField字段: class Collection(models.Model):...原因是,Django-Admin中就支持用户控制queryset的查询键名,我在2017年在微博中说到过这一点,不过当时没有测过JSONField,sad。 ?
("book__title") ManyToManyField class RelatedManager “关联管理器”是在一对多或者多对多的关联上下文中使用的管理器。...键的名称是聚合值的标识符,值是计算出来的聚合值。键的名称是按照字段和聚合函数的名称自动生成出来的。...': '小魔女', 'sum_price': Decimal('9.90')}]> F查询和Q查询 F查询 在上面所有的例子中,我们构造的过滤器都只是将字段值与某个常量做比较。...如果我们要对两个字段的值做比较,那该怎么做呢? Django 提供 F() 来做这样的比较。F() 的实例可以在查询中引用字段,来比较同一个 model 实例中两个不同字段的值。...所有提供给查询函数的参数(关键字参数或Q 对象)都将"AND”在一起。但是,如果出现Q 对象,它必须位于所有关键字参数的前面。 例如:查询出版年份是2017或2018,书名中带物语的所有书。
还要注意,即使对未执行的QuerySet进行切片并返回另一个未执行的Query Set,也不允许对其进行进一步修改(例如,添加更多筛选器或修改排序),因为它无法很好地转换为SQL,也没有明确的含义。...Pickle序列化通常用作缓存的前奏。重新加载缓存的查询集时,希望结果存在并可用(从数据库读取可能需要一些时间,这违反了缓存的目的)。...为了实现这一点,大多数QuerySet方法返回一个新的查询集。本节稍后将详细介绍这些方法。...annotation()的每个参数都是一个注释,将添加到返回的QuerySet中的每个对象。 Django提供的聚合函数在以下聚合函数中进行了描述。...使用关键字参数指定的注释使用关键字作为注释的别名。匿名参数将根据聚合函数的名称和聚合模型字段为其生成别名。只有引用单个字段的聚合表达式才能成为匿名参数。其他所有内容都必须是关键字参数。
更多模型字段,请参考Django官方文档。写的明明白白。 查询 我们在Django中通过操作模型类去做增删改查,sql语句那么多,我们同样可以进行增删改查。 其中最复杂的也就是查询了。...Q对象 以上我们都是单个条件进行查询,那如果多个条件呢? 我们可以在上面获取的对象再次进行筛选,也就是注意中说的那句话,但是很麻烦。 因此Django为我们提供了Q模块来帮助我们多条件查询。...上面返回的是一个字典: 比如查询的所有人的数目返回: {'id__count':值} 年龄和: {'age__sum':值} key值是字典加双下划线加聚合函数的名字。...同样的查询方式。 管理器 什么是管理器? 我们每次查询的时候都会是模型.objects.xxx。 这个objects是Django帮我们自动生成的管理器对象。通过objects来帮助我们查询信息。...1、过滤查询集,比如你查询全部数据,我只让你返回前十条。 2、添加新的方法,比如添加,修改可以封装在里面方面我们使用。
简介 查询集表示从数据库中获取的对象集合 查询集可以含有零个、一个或多个过滤器 过滤器基于所给的参数限制查询的结果 从Sql的角度,查询集和select语句等价,过滤器像where和limit子句 接下来主要讨论如下知识点...查询集 字段查询:比较运算符,F对象,Q对象 查询集 在管理器上调用过滤器方法会返回查询集 查询集经过过滤器筛选后返回新的查询集,因此可以写成链式过滤 惰性执行:创建查询集不会带来任何数据库的访问...,[0:1].get()引发DoesNotExist异常 查询集的缓存 每个查询集都包含一个缓存来最小化对数据库的访问 在新建的查询集中,缓存为空,首次对查询集求值时,会发生数据库查询,django会将查询的结果存在查询集的缓存中...()、exclude()、get()的参数 语法:属性名称__比较运算符=值 表示两个下划线,左侧是属性名称,右侧是比较类型 对于外键,使用“属性名_id”表示外键的原始值 转义:like语句中使用了%...='八') 查询的快捷方式:pk,pk表示primary key,默认的主键是id filter(pk__lt=6) 聚合函数 使用aggregate()函数返回聚合函数的值 函数:Avg,Count,
是在一对多或者多对多的关联上下文中使用的管理器。...键的名称是聚合值的标识符,值是计算出来的聚合值。键的名称是按照字段和聚合函数的名称自动生成出来的。...F查询 在上面所有的例子中,我们构造的过滤器都只是将字段值与某个常量做比较。...如果我们要对两个字段的值做比较,那该怎么做呢? Django 提供 F() 来做这样的比较。F() 的实例可以在查询中引用字段,来比较同一个 model 实例中两个不同字段的值。...所有提供给查询函数的参数(关键字参数或Q 对象)都将"AND”在一起。但是,如果出现Q 对象,它必须位于所有关键字参数的前面。 例如:查询出版年份是2017或2018,书名中带物语的所有书。
查询集,也称查询结果集、QuerySet,表示从数据库中获取的对象集合。...当调用如下过滤器方法时,Django会返回查询集(而不是简单的列表): all():返回所有数据。...也就意味着查询集可以含有零个、一个或多个过滤器....过滤器基于所给的参数限制查询的结果 从SQL的角度讲,查询集与select语句等价,过滤器像where、limit、order by子句。...: 管理器是Django的模型进行数据库操作的接口,Django应用的每个模型类都拥有 至少一个管理器。
aggregate() 是一个 查询集 的未端子句,调用后会返回一个由名称-值配对组成的字典。名称是指统计的名称,值就是统计的值。名称由字段名称配双下划线加上函数名自动组成。...第二种方法是为 查询集 中每个独立的对象生成统计。...当定义一个 annotate() 子句后, 查询集 中的每个对象就可以与特定值关联,相当于每个对象有一个 “注释”。 这种注释的语法与 aggregate() 相同。...当定义一个 annotate() 子句后, 查询集 中的每个对象就可以与特定值关联,相当于每个对象有一个 “注释”。 这种注释的语法与 aggregate() 相同。...')) 过滤统计的值 统计出来的值也可以被过滤。
产生该漏洞的原因是重复创建具有Unique约束键的值导致出发数据库Unique异常,并且没有对用户输入的字符进行检查与转义。...,如果匹配上的URL路由中最后一位是/,而用户访问的时候没加/,Django默认会跳转到带/的请求中。...在path开头为//example.com的情况下,Django没做处理,导致浏览器认为目的地址是绝对路径,最终造成任意URL跳转漏洞,这里简单演示下吧!搭建环境,直接开干!...Django JSONField/HStoreField SQL注入漏洞 漏洞编号:CVE-2019-14234 开发者在Django中使用了JSONField/HStoreField,且用户可控queryset...在Django 3.0.3版本以下的GIS查询功能模块(GPS定位相关模块)中存在的SQL注入漏洞,其产生漏洞的原因是GIS的聚合查询功能中,用户在oracle的数据库且可控tolerance变量,并且要命的是未对该变量做任何的用户输入检查
("book__title") 多对多关系操作 class RelatedManager “关联管理器”是在一对多或者多对多的关联上下文中使用的管理器。...键的名称是聚合值的标识符,值是计算出来的聚合值。键的名称是按照字段和聚合函数的名称自动生成出来的。...': '小魔女', 'sum_price': Decimal('9.90')}]> F查询/Q查询 F查询 在上面所有的例子中,我们构造的过滤器都只是将字段值与某个常量做比较。...如果我们要对两个字段的值做比较,那该怎么做呢? Django 提供 F() 来做这样的比较。F() 的实例可以在查询中引用字段,来比较同一个 model 实例中两个不同字段的值。...所有提供给查询函数的参数(关键字参数或Q 对象)都将”AND”在一起。但是,如果出现Q 对象,它必须位于所有关键字参数的前面。 例如:查询出版年份是2017或2018,书名中带物语的所有书。
过滤器基于所给的参数限制查询的结果。 从SQL 的角度,查询集和SELECT 语句等 价,过滤器是像WHERE 和LIMIT 一样的限制子句。 你可以从模型的管理器那里取得查询集。...但在通常情况下,你往往想要获取 的是完整数据集的一个子集。 要创建这样一个子集,你需要在原始的的查询集上增加一些过滤条件。...(pub_date__year=2006) 利用默认的管理器,它相当于: Entry.objects.all().filter(pub_date__year=2006) 链式过滤 查询集的筛选结果本身还是查询集...最后的结果仍然是一个查询集,它包含标题以”What“开 头、发布日期在2005年1月30日至当天之间的所有记录 过滤后的查询集是独立的 每次你筛选一个查询集,得到的都是全新的另一个查询集,它和之前的查询集之间没有任何绑...你可以将过滤器保持一整 天,直到查询集 需要求值时,Django 才会真正运行这个查询。
': 126} 注意aggregate的返回值是一个字典类型,格式如下: {'属性名__聚合类小写':值} 如:{'readcount__sum': 126} 使用count时一般不使用aggregate...例:查询图书总数。 BookInfo.objects.count() 注意count函数的返回值是一个数字。 2....查询集,也称查询结果集、QuerySet,表示从数据库中获取的对象集合。 当调用如下过滤器方法时,Django会返回查询集(而不是简单的列表): all():返回所有数据。...使用同一个查询集,第一次使用时会发生数据库的查询,然后Django会把结果缓存下来,再次使用这个查询集时会使用缓存的数据,减少了数据库的查询次数。...情况一:如下是两个查询集,无法重用缓存,每次查询都会与数据库进行一次交互,增加了数据库的负载。
list = BookInfo.objects.aggregate(Sum('bread')) 注意aggregate的返回值是一个字典类型,格式如下: {'聚合类小写__属性名':值} 如:{'sum...4.查询集 查询集表示从数据库中获取的对象集合,在管理器上调用某些过滤器方法会返回查询集,查询集可以含有零个、一个或多个过滤器。...过滤器基于所给的参数限制查询的结果,从Sql的角度,查询集和select语句等价,过滤器像where和limit子句。 返回查询集的过滤器如下: all():返回所有数据。...在新建的查询集中,缓存为空,首次对查询集求值时,会发生数据库查询,django会将查询的结果存在查询集的缓存中,并返回请求的结果,接下来对查询集求值将重用缓存中的结果。...books = models.Manager() 管理器Manager 管理器是Django的模型进行数据库操作的接口,Django应用的每个模型类都拥有至少一个管理器。
领取专属 10元无门槛券
手把手带您无忧上云