Contribute to bingosummer/techcontent development by creating an account on GitHub.

在本文中，我们学习了如何在Django中使用原始SQL来查询、更新和删除数据。我们还介绍了参数化查询，以避免SQL注入攻击。如果您需要处理一些复杂的查询操作，原始SQL是一种非常有用的工具。然而，在使用原始SQL时，我们需要注意安全问题，并尽可能使用Django提供的ORM来处理数据库操作。

有多少人曾为应用程序数据库的扩展和优化而头疼？如果你还没有阅读过《如何用 Django 搞定 SQL 的 “脏活累活”》，强烈建议先看看那篇文章。简单来说，SQL 是专为 SQL 数据库优化的，Python 则不是，而 Django 可以充当一个中介，帮助我们构建更有效的应用程序，同时在配合使用这两种语言时减少 ...

Django 官方发布安全通告公布了一个通过StringAgg（分隔符）实现利用的潜在SQL注入漏洞（CVE-2020-7471）。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg，从而绕过转义并注入恶意SQL语句。