sql语句-根据动态参数去拼sql

1.查询

我们有的时候会有根据参数当条件去查找sql,但是参数有的需要有的不需要应该怎么办呢?

 

就比如这种的  

 

这时候我们可以遍历传进来的参数

request.form会获取他所填写的参数

show = request.form
    for key in show:
        if show.get(key) != '':
            sql += ' and ' + key + ' = ' + "'" + show.get(key) + "'"
        else:
            pass


#sql 就是我们要查的部分
#我们必须这样写 select xx from (table) where 1=1
#然后就依次在后面拼sql就可以了

 

注:此方法有个弊端就是有可能会导致sql注入,这种方法适合我们内网使用。

posted @ 2019-07-30 17:32  YF-海纳百川  阅读(868)  评论(0编辑  收藏  举报