sql语句-根据动态参数去拼sql
1.查询
我们有的时候会有根据参数当条件去查找sql,但是参数有的需要有的不需要应该怎么办呢?
就比如这种的
这时候我们可以遍历传进来的参数
request.form会获取他所填写的参数
show = request.form for key in show: if show.get(key) != '': sql += ' and ' + key + ' = ' + "'" + show.get(key) + "'" else: pass #sql 就是我们要查的部分 #我们必须这样写 select xx from (table) where 1=1 #然后就依次在后面拼sql就可以了
注:此方法有个弊端就是有可能会导致sql注入,这种方法适合我们内网使用。