Django & Postgres явные параметры SQL экранируют

Question

Мне нужно создать длинный запрос SQL к моей базе данных, но я не уверен, как правильно экранировать параметры

Как я могу явно экранировать параметры в SQL, как cursor.execute ()?

Не могли бы вы также привести пример того, что именно должен делать этот побег, чтобы я мог проверить его?

Есть ли разница, если вы избежите стандартного запроса SQL или вызова функции базы данных?

Answer 1

Если вам нужно построить список параметров динамически:

sql = "SELECT FROM foo WHERE bar='baz'"
param_list = []
for entry in loop_array:
    sql = sql + "AND " + entry.key + " = %s"
    param_list.append(entry.value)

cursor.execute(sql, param_list)