SQLAlchemy:実際のクエリを出力します
パラメーターをバインドするのではなく、値を含むアプリケーションの有効なSQLを出力できるようにしたいのですが、SQLAlchemyでこれを行う方法は明確ではありません(設計上、かなり確信しています)。
誰かがこの問題を一般的な方法で解決しましたか?
これはpython 2および3で機能し、以前よりも少しすっきりしていますが、SA> = 1.0が必要です。
from sqlalchemy.engine.default import DefaultDialect
from sqlalchemy.sql.sqltypes import String, DateTime, NullType
# python2/3 compatible.
PY3 = str is not bytes
text = str if PY3 else unicode
int_type = int if PY3 else (int, long)
str_type = str if PY3 else (str, unicode)
class StringLiteral(String):
"""Teach SA how to literalize various things."""
def literal_processor(self, dialect):
super_processor = super(StringLiteral, self).literal_processor(dialect)
def process(value):
if isinstance(value, int_type):
return text(value)
if not isinstance(value, str_type):
value = text(value)
result = super_processor(value)
if isinstance(result, bytes):
result = result.decode(dialect.encoding)
return result
return process
class LiteralDialect(DefaultDialect):
colspecs = {
# prevent various encoding explosions
String: StringLiteral,
# teach SA about how to literalize a datetime
DateTime: StringLiteral,
# don't format py2 long integers to NULL
NullType: StringLiteral,
}
def literalquery(statement):
"""NOTE: This is entirely insecure. DO NOT execute the resulting strings."""
import sqlalchemy.orm
if isinstance(statement, sqlalchemy.orm.Query):
statement = statement.statement
return statement.compile(
dialect=LiteralDialect(),
compile_kwargs={'literal_binds': True},
).string
デモ:
# coding: UTF-8
from datetime import datetime
from decimal import Decimal
from literalquery import literalquery
def test():
from sqlalchemy.sql import table, column, select
mytable = table('mytable', column('mycol'))
values = (
5,
u'snowman: ☃',
b'UTF-8 snowman: \xe2\x98\x83',
datetime.now(),
Decimal('3.14159'),
10 ** 20, # a long integer
)
statement = select([mytable]).where(mytable.c.mycol.in_(values)).limit(1)
print(literalquery(statement))
if __== '__main__':
test()
次の出力が得られます:(python 2.7および3.4でテスト済み)
SELECT mytable.mycol
FROM mytable
WHERE mytable.mycol IN (5, 'snowman: ☃', 'UTF-8 snowman: ☃',
'2015-06-24 18:09:29.042517', 3.14159, 100000000000000000000)
LIMIT 1
ほとんどの場合、SQLAlchemyステートメントまたはクエリの「文字列化」は次のように簡単です。
print str(statement)
これは、ORM Queryとselect()またはその他のステートメントの両方に適用されます。
注:次の詳細な回答は sqlalchemyドキュメント で維持されています。
特定の方言またはエンジンにコンパイルされたステートメントを取得するには、ステートメント自体がまだバインドされていない場合、これを compile() に渡すことができます。
print statement.compile(someengine)
またはエンジンなし:
from sqlalchemy.dialects import postgresql
print statement.compile(dialect=postgresql.dialect())
ORM Queryオブジェクトを指定した場合、compile()メソッドにアクセスするには、最初に 。statement アクセサーにアクセスするだけで済みます。
statement = query.statement
print statement.compile(someengine)
バインドされたパラメーターを最終的な文字列に「インライン化」するという元の規定に関して、ここでの課題は、SQLAlchemyがPython DBAPIではなく適切に処理されるため、通常はこれを使用しないことですバウンドパラメータのバイパスは、おそらく最新のWebアプリケーションで最も広く利用されているセキュリティホールです。 SQLAlchemyには、DDLを出力するような特定の状況でこの文字列化を行う機能が制限されています。この機能にアクセスするには、compile_kwargsに渡される 'literal_binds'フラグを使用できます。
from sqlalchemy.sql import table, column, select
t = table('t', column('x'))
s = select([t]).where(t.c.x == 5)
print s.compile(compile_kwargs={"literal_binds": True})
上記のアプローチには、intや文字列などの基本型でのみサポートされているという警告があります。さらに、事前に設定された値のないbindparamを直接使用すると、文字列化することもできません。
サポートされていないタイプのインラインリテラルレンダリングをサポートするには、TypeDecorator.process_literal_paramメソッドを含むターゲットタイプにTypeDecoratorを実装します。
from sqlalchemy import TypeDecorator, Integer
class MyFancyType(TypeDecorator):
impl = Integer
def process_literal_param(self, value, dialect):
return "my_fancy_formatting(%s)" % value
from sqlalchemy import Table, Column, MetaData
tab = Table('mytable', MetaData(), Column('x', MyFancyType()))
print(
tab.select().where(tab.c.x > 5).compile(
compile_kwargs={"literal_binds": True})
)
次のような出力を生成します:
SELECT mytable.x
FROM mytable
WHERE mytable.x > my_fancy_formatting(5)
デバッグ時にのみ必要なものが必要な場合、echo=Trueを指定してSQLAlchemyを起動し、すべてのSQLクエリを記録できます。例えば:
engine = create_engine(
"mysql://scott:tiger@hostname/dbname",
encoding="latin1",
echo=True,
)
これは、単一のリクエストに対してのみ変更することもできます。
echo=False–Trueの場合、エンジンはすべてのステートメントとパラメーターリストのrepr()をエンジンロガーに記録します。デフォルトはsys.stdoutです。echoのEngine属性は、ログのオンとオフをいつでも変更できます。文字列"debug"に設定すると、結果行も標準出力に出力されます。このフラグは最終的にPythonロガーを制御します。ロギングを直接設定する方法については、 ロギングの設定 を参照してください。
Flaskで使用する場合、単純に設定できます
app.config["SQLALCHEMY_ECHO"] = True
同じ動作を取得します。
この目的で compile メソッドを使用できます。 docs から:
from sqlalchemy.sql import text
from sqlalchemy.dialects import postgresql
stmt = text("SELECT * FROM users WHERE users.name BETWEEN :x AND :y")
stmt = stmt.bindparams(x="m", y="z")
print(stmt.compile(dialect=postgresql.dialect(),compile_kwargs={"literal_binds": True}))
結果:
SELECT * FROM users WHERE users.name BETWEEN 'm' AND 'z'
そこで、@ bukzorのコードに対する@zzzeekのコメントに基づいて、「かなり印刷可能な」クエリを簡単に取得するためにこれを思いつきました。
def prettyprintable(statement, dialect=None, reindent=True):
"""Generate an SQL expression string with bound parameters rendered inline
for the given SQLAlchemy statement. The function can also receive a
`sqlalchemy.orm.Query` object instead of statement.
can
WARNING: Should only be used for debugging. Inlining parameters is not
safe when handling user created data.
"""
import sqlparse
import sqlalchemy.orm
if isinstance(statement, sqlalchemy.orm.Query):
if dialect is None:
dialect = statement.session.get_bind().dialect
statement = statement.statement
compiled = statement.compile(dialect=dialect,
compile_kwargs={'literal_binds': True})
return sqlparse.format(str(compiled), reindent=reindent)
私は個人的にインデントされていないコードを読むのに苦労しているので、SQLを再インデントするためにsqlparseを使用しました。 pip install sqlparseでインストールできます。
このコードは、@ bukzorの素晴らしい 既存の回答 に基づいています。 datetime.datetimeタイプのカスタムレンダーをOracleのTO_DATE()に追加しました。
データベースに合わせてコードを自由に更新してください。
import decimal
import datetime
def printquery(statement, bind=None):
"""
print a query, with values filled in
for debugging purposes *only*
for security, you should always separate queries from their values
please also note that this function is quite slow
"""
import sqlalchemy.orm
if isinstance(statement, sqlalchemy.orm.Query):
if bind is None:
bind = statement.session.get_bind(
statement._mapper_zero_or_none()
)
statement = statement.statement
Elif bind is None:
bind = statement.bind
dialect = bind.dialect
compiler = statement._compiler(dialect)
class LiteralCompiler(compiler.__class__):
def visit_bindparam(
self, bindparam, within_columns_clause=False,
literal_binds=False, **kwargs
):
return super(LiteralCompiler, self).render_literal_bindparam(
bindparam, within_columns_clause=within_columns_clause,
literal_binds=literal_binds, **kwargs
)
def render_literal_value(self, value, type_):
"""Render the value of a bind parameter as a quoted literal.
This is used for statement sections that do not accept bind paramters
on the target driver/database.
This should be implemented by subclasses using the quoting services
of the DBAPI.
"""
if isinstance(value, basestring):
value = value.replace("'", "''")
return "'%s'" % value
Elif value is None:
return "NULL"
Elif isinstance(value, (float, int, long)):
return repr(value)
Elif isinstance(value, decimal.Decimal):
return str(value)
Elif isinstance(value, datetime.datetime):
return "TO_DATE('%s','YYYY-MM-DD HH24:MI:SS')" % value.strftime("%Y-%m-%d %H:%M:%S")
else:
raise NotImplementedError(
"Don't know how to literal-quote value %r" % value)
compiler = LiteralCompiler(dialect, statement)
print compiler.process(statement)
上記のソリューションは、重要なクエリでは「うまく機能しない」ことを指摘したいと思います。私が遭遇した問題の1つは、問題を引き起こすpgsql ARRAYなどのより複雑なタイプでした。私は、pgsql ARRAYでも動作する解決策を見つけました:
借りた: https://Gist.github.com/gsakkis/4572159
リンクされたコードは、古いバージョンのSQLAlchemyに基づいているようです。属性_mapper_zero_or_noneが存在しないというエラーが表示されます。これは、新しいバージョンで動作する更新バージョンです。_mapper_zero_or_noneをbindに置き換えるだけです。さらに、これはpgsql配列をサポートしています:
# adapted from:
# https://Gist.github.com/gsakkis/4572159
from datetime import date, timedelta
from datetime import datetime
from sqlalchemy.orm import Query
try:
basestring
except NameError:
basestring = str
def render_query(statement, dialect=None):
"""
Generate an SQL expression string with bound parameters rendered inline
for the given SQLAlchemy statement.
WARNING: This method of escaping is insecure, incomplete, and for debugging
purposes only. Executing SQL statements with inline-rendered user values is
extremely insecure.
Based on http://stackoverflow.com/questions/5631078/sqlalchemy-print-the-actual-query
"""
if isinstance(statement, Query):
if dialect is None:
dialect = statement.session.bind.dialect
statement = statement.statement
Elif dialect is None:
dialect = statement.bind.dialect
class LiteralCompiler(dialect.statement_compiler):
def visit_bindparam(self, bindparam, within_columns_clause=False,
literal_binds=False, **kwargs):
return self.render_literal_value(bindparam.value, bindparam.type)
def render_array_value(self, val, item_type):
if isinstance(val, list):
return "{%s}" % ",".join([self.render_array_value(x, item_type) for x in val])
return self.render_literal_value(val, item_type)
def render_literal_value(self, value, type_):
if isinstance(value, long):
return str(value)
Elif isinstance(value, (basestring, date, datetime, timedelta)):
return "'%s'" % str(value).replace("'", "''")
Elif isinstance(value, list):
return "'{%s}'" % (",".join([self.render_array_value(x, type_.item_type) for x in value]))
return super(LiteralCompiler, self).render_literal_value(value, type_)
return LiteralCompiler(dialect, statement).process(statement)
ネストされた配列の2つのレベルでテスト済み。