Посмотрите документацию по Django ;это может быть полезно.
Используя наборы запросов Django, результирующий SQL будет должным образом экранирован базовым драйвером базы данных.Тем не менее, Django также дает разработчикам возможность писать необработанные запросы или выполнять пользовательские sql.Эти возможности должны использоваться экономно, и вы всегда должны быть осторожны, чтобы правильно избегать любых параметров, которые пользователь может контролировать.Кроме того, вы должны проявлять осторожность при использовании extra ().