除了使用cursor.execute()和executescript()，还有哪些可以手动进行参数化查询的方法？

使用数据库抽象层的 raw() 方法（以Django为例）

• 在Django中，raw() 方法提供了一种执行原始SQL查询的方式，同时也支持参数化。例如，假设你有一个模型 Product，你可以这样使用 raw() 方法进行查询：

  from.models import Product
  def get_products_by_price(price):
    # 将price转换为合适的数据类型，如float
    price = float(price)
    products = Product.objects.raw("SELECT * FROM myapp_product WHERE price > %s", [price])
    return products
  

• 解释：raw() 方法中的SQL语句部分使用 %s 作为参数占位符，后面的列表包含了要传递的参数。这种方式和直接使用数据库游标进行参数化查询类似，但它是基于Django的数据库抽象层，更方便与Django的模型和其他功能集成。

使用 extra() 方法（以Django为例）

• extra() 方法是Django ORM提供的一个用于在查询中添加额外条件的工具，也可以用于参数化查询。例如：

  from.models import User
  def get_users_by_last_login(last_login_date):
    # 假设last_login_date是一个日期对象，进行适当的处理
    # 将last_login_date转换为合适的格式，如字符串或者数据库支持的日期格式
    users = User.objects.extra(where=["last_login > %s"], params=[last_login_date])
    return users
  

• 解释：在 extra() 方法中，where 列表定义了额外的查询条件，其中 %s 是参数占位符，params 列表包含了要传递的参数。这使得你可以在利用Django ORM的部分功能的同时，添加自定义的参数化查询条件。

使用第三方数据库抽象库（如SQLAlchemy）

• SQLAlchemy是一个强大的Python数据库抽象层库。它提供了多种方式进行参数化查询。例如：

  from sqlalchemy import create_engine, text
  engine = create_engine('your_database_connection_string')
  def get_items_by_name(name):
    with engine.connect() as connection:
        query = text("SELECT * FROM items WHERE name LIKE :name")
        result = connection.execute(query, {
         'name': f'%{name}%'})
        return result.fetchall()
  

• 解释：在SQLAlchemy中，使用 text() 函数创建一个带有命名参数（这里是 :name）的SQL查询。在执行查询时，通过一个字典（{'name': f'%{name}%'}）将参数传递给查询。这种命名参数的方式使得查询更具可读性，并且能很好地确保参数化的正确性。

利用数据库驱动的特定功能（以Python的MySQL驱动 mysql - connector - python 为例）

• 有些数据库驱动提供了自己的参数化查询方式。对于 mysql - connector - python，可以这样进行参数化查询：

  import mysql.connector
  def get_customers_by_city(city):
    mydb = mysql.connector.connect(
        host="localhost",
        user="your_user",
        password="your_password",
        database="your_database"
    )
    mycursor = mydb.cursor()
    query = "SELECT * FROM customers WHERE city = %(city)s"
    mycursor.execute(query, {
         'city': city})
    return mycursor.fetchall()
  

• 解释：这里使用了字典形式（{'city': city}）来传递参数，其中SQL语句中的参数占位符是 %(city)s。这种方式是 mysql - connector - python 驱动提供的一种方便的参数化查询方法，不同的数据库驱动可能有不同的参数占位符和传递参数的方式。