Flask 的 ORM 模型 - 概述

在詞條使用 Python 操作 MySQL 數(shù)據(jù)庫(kù)中，通過(guò) SQL 語(yǔ)句訪問(wèn)數(shù)據(jù)庫(kù)，繁瑣易錯(cuò)。本小節(jié)介紹了用于簡(jiǎn)化訪問(wèn)數(shù)據(jù)庫(kù)的 ORM 模型，ORM 模型定義了關(guān)系數(shù)據(jù)庫(kù)和對(duì)象的映射關(guān)系，使得訪問(wèn)數(shù)據(jù)庫(kù)的代碼簡(jiǎn)單清晰、易于維護(hù)。

1. 問(wèn)題的產(chǎn)生

訪問(wèn)關(guān)系數(shù)據(jù)庫(kù)的傳統(tǒng)方式是：拼接 SQL 語(yǔ)句。例如，向數(shù)據(jù)庫(kù)中插入一條數(shù)據(jù)，根據(jù)要插入的數(shù)據(jù)拼接一條 SQL INSERT 語(yǔ)句，下面的 Python 程序使用 SQL 語(yǔ)句向數(shù)據(jù)庫(kù)中插入一條學(xué)生的信息：

sno = '20201916'
name = '張三'
age = 20
gender = 'male'
sql = 'INSERT INTO students(sno, name, age, gender) VALUES("%s", "%s", %d, "%s")' % (sno, name, age, gender)
rows = cursor.execute(sql)

在第 5 行，Python 程序使用字符串運(yùn)算符 % 根據(jù)參數(shù) sno、name、age 和 gender 最終生成一條 SQL 語(yǔ)句：

INSERT INTO students(sno, name, age, gender) VALUES("", "張三", 20, "male");

隨著項(xiàng)目越來(lái)越大，通過(guò)拼接 SQL 語(yǔ)句訪問(wèn)數(shù)據(jù)庫(kù)存在如下的問(wèn)題：

1. 繁瑣易錯(cuò)

在上面的例子中，第 5 行代碼用于拼接 INSERT 語(yǔ)句，INSERT 語(yǔ)句需要插入 4 個(gè)字段，該行代碼較長(zhǎng)，無(wú)法在一行顯示。在實(shí)際的軟件開(kāi)發(fā)中，INSERT 語(yǔ)句可能需要插入 10 個(gè)以上的字段，那么拼接 INSERT 語(yǔ)句的代碼則非常的繁瑣易錯(cuò)。

下面的 SQL 語(yǔ)句來(lái)自于一個(gè)實(shí)際的項(xiàng)目:

sql = "INSERT INTO Flights(FlightID, AircraftModel, RegisterID, Direction, ExpectApronTime, RunwayID, ApronID, AirwayID, TaxiwayTimes, AirwayTimes, Rank) VALUES('%s', '%s', '%s', '%s', %d, '%s', '%s', '%s', '%s', '%s', %d)" % (flightID, aircraftModel, registerID, direction, expectApronTime, runwayID, apronID, airwayID, taxiwayTimes, airwayTimes, rank)

要插入的數(shù)據(jù)包含有 11 個(gè)字段，造成 SQL 語(yǔ)句非常的冗長(zhǎng)，需要在多行中才能完全顯示，程序的可讀性極差。

2. SQL 語(yǔ)句重復(fù)利用率低

越復(fù)雜的 SQL 語(yǔ)句條件越多、代碼越長(zhǎng)，在實(shí)際的項(xiàng)目中，會(huì)出現(xiàn)很多很相近的 SQL 語(yǔ)句。

3. Web 安全漏洞

直接使用 SQL 語(yǔ)句存在有 Web 安全漏洞的問(wèn)題：通過(guò)把 SQL 命令插入到頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。

下面的 SQL 語(yǔ)句根據(jù)頁(yè)面請(qǐng)求中的用戶名和密碼查詢數(shù)據(jù)庫(kù)：

username = 從頁(yè)面請(qǐng)求中獲取用戶名
password = 從頁(yè)面請(qǐng)求中獲取密碼
sql = 'select * from users where username = "%s" and password = "%s"' % (username, password)

在第 3 行的 SELECT 語(yǔ)句中，where 條件進(jìn)行權(quán)限檢查，只有 username 和 password 與數(shù)據(jù)庫(kù)表 users 中的數(shù)據(jù)匹配時(shí)，才返回有效數(shù)據(jù)，因此，只有用戶輸入正確的用戶名和密碼才可以獲取數(shù)據(jù)。

這條 SQL 語(yǔ)句存在有安全漏洞，假設(shè)用戶在頁(yè)面中輸入的用戶名為 admin"# (共 7 個(gè)字符，前 5 個(gè)字符是 admin，后面 2 個(gè)字符是 " 和 #)，密碼為 123456，則最終拼接的 SQL 語(yǔ)句如下：

select * from users where username = "admin"#" and password = "123456"

在 SQL 中，# 是行注釋，因此上述 SQL 語(yǔ)句相當(dāng)于：

select * from users where username = "admin"

只要數(shù)據(jù)庫(kù)表 users 中有 admin 這條記錄，執(zhí)行該條 SQL 語(yǔ)句就會(huì)返回?cái)?shù)據(jù)，這樣對(duì) password 的檢查就徹底失效了。

2. 對(duì)象 - 關(guān)系映射 (ORM)

隨著面向?qū)ο蟮能浖_(kāi)發(fā)方法發(fā)展，出現(xiàn)了對(duì)象 - 關(guān)系映射 (Object Relation Mapping) 模型，簡(jiǎn)稱為 ORM，ORM 通過(guò)使用描述對(duì)象和數(shù)據(jù)庫(kù)之間映射的元數(shù)據(jù)，將面向?qū)ο笳Z(yǔ)言程序中的對(duì)象自動(dòng)持久化到關(guān)系數(shù)據(jù)庫(kù)中。

ORM 描述的對(duì)象關(guān)系映射如上圖圖所示：

• 關(guān)系數(shù)據(jù)庫(kù)中的表對(duì)應(yīng)于面向?qū)ο笾械念悾?/li>
• 關(guān)系數(shù)據(jù)庫(kù)中的數(shù)據(jù)行（記錄）對(duì)應(yīng)于面向?qū)ο笾械膶?duì)象；
• 關(guān)系數(shù)據(jù)庫(kù)中的字段對(duì)應(yīng)于面向?qū)ο笾械膶傩浴?/li>

假設(shè)關(guān)系數(shù)據(jù)庫(kù)中存在一張表 Students，包括 sno、name 和 age 等字段，使用如下 SQL 語(yǔ)句進(jìn)行創(chuàng)建：

CREATE TABLE students(
    sno VARCHAR(255),
    name VARCHAR(255),
    age INT
);

在 ORM 模型中，存在一個(gè)類 Student 與關(guān)系數(shù)據(jù)庫(kù)中的表 students 相對(duì)應(yīng)，代碼如下所示：

class Student:
    def __init__(self, sno, name, age):
        self.sno = sno
        self.name = name
        self.age = age

tom = Student('1918001', 'tom', 12)        

在第 7 行，程序通過(guò)類 Student 實(shí)例化生成一個(gè)對(duì)象 student。在這個(gè)具體的例子中，對(duì)象和數(shù)據(jù)庫(kù)之間映射如下表所示：

3. SQLAlchemy 簡(jiǎn)介

SQLAlchemy 是 Python 中一個(gè)通過(guò) ORM 操作數(shù)據(jù)庫(kù)的框架。SQLAlchemy 對(duì)象關(guān)系映射器提供了一種方法，用于將用戶定義的 Python 類與數(shù)據(jù)庫(kù)表相關(guān)聯(lián)，并將這些類實(shí)例與其對(duì)應(yīng)表中的行相關(guān)聯(lián)。SQLAlchemy 可以讓開(kāi)發(fā)者使用類和對(duì)象的方式操作數(shù)據(jù)庫(kù)，從而從繁瑣的 sql 語(yǔ)句中解脫出來(lái)。

SQLAlchemy 的架構(gòu)如下所示：

在 SQLAlchemy 的核心架構(gòu)中，Schema / Types 定義了類到表之間的映射規(guī)則。DBAPI 是訪問(wèn)關(guān)系數(shù)據(jù)庫(kù)的底層接口，底層接口仍然通過(guò) SQL 語(yǔ)句訪問(wèn)關(guān)系數(shù)據(jù)庫(kù)。SQLAlchemy 支持多種關(guān)系數(shù)據(jù)庫(kù) (Oracle, Postgresql, Mysql)，Dialect 根據(jù)用戶的配置，調(diào)用不同的數(shù)據(jù)庫(kù)底層訪問(wèn) API，并執(zhí)行對(duì)應(yīng)的 SQL 語(yǔ)句。

4. 使用 SQLAlchemy 完成映射

本小節(jié)講解在 Flask 中使用 SQLAlchemy 完成表與對(duì)象的映射，分為如下步驟：

4.1 安裝相關(guān)庫(kù)

$ pip3 install flask
$ pip3 install pymysql
$ pip3 install SQLAlchemy
$ pip3 install flask-sqlalchemy

4.2 創(chuàng)建數(shù)據(jù)庫(kù)

在 mysql 數(shù)據(jù)庫(kù)中執(zhí)行如下 SQL 腳本 db.sql：

DROP DATABASE IF EXISTS school;
CREATE DATABASE school;
USE school;

CREATE TABLE students(
    sno INT,
    name VARCHAR(255),
    age INT,
    PRIMARY KEY(sno)
);

INSERT students(sno, name, age) VALUES(1, 'tom', 11);
INSERT students(sno, name, age) VALUES(2, 'jerry', 12);
INSERT students(sno, name, age) VALUES(3, 'mike', 13);

首先，如果存在數(shù)據(jù)庫(kù) school 則刪除，然后建立一個(gè)新的、空的數(shù)據(jù)庫(kù) school；然后，創(chuàng)建表 students；最后，向數(shù)據(jù)庫(kù)的表 students 中插入 3 條記錄用于測(cè)試。

4.3 創(chuàng)建 SQLAlchemy 對(duì)象

創(chuàng)建文件 db.py，創(chuàng)建 SQLAlchemy 對(duì)象，如下所示：

from flask import Flask
from flask_sqlalchemy import SQLAlchemy

app = Flask(__name__)

user = 'root'
password = '123456'
database = 'school'
uri = 'mysql+pymysql://%s:%s@localhost:3306/%s' % (user, password, database)
app.config['SQLALCHEMY_DATABASE_URI'] = uri
app.config['SQLALCHEMY_TRACK_MODIFICATIONS'] = False

db = SQLAlchemy(app)

首先引入庫(kù) flask 和庫(kù) flask_sqlalchemy；然后對(duì) SQLAlchemy 進(jìn)行配置，設(shè)置如下參數(shù)：

在第 10 行，對(duì) SQLAlchemy 進(jìn)行配置，SQLALCHEMY_DATABASE_URI 配置的是連接數(shù)據(jù)庫(kù)的字符串，在這個(gè)例子中，該字符串為：

mysql+pymysql://root:123456@localhost:3306/school

該字符串包含有數(shù)據(jù)庫(kù)類型、用戶名、密碼、數(shù)據(jù)庫(kù)名等信息，含義如下：

最后，在第 13 行，創(chuàng)建 SQLAlchemy 對(duì)象 db。

4.3 建立類與表之間的映射

最核心的工作是建立類與表之間的映射，代碼如下：

class Student(db.Model):
    __tablename__ = 'students'
    sno = db.Column(db.Integer, primary_key=True)
    name = db.Column(db.String(255))
    age = db.Column(db.Integer)

建立表和類的映射關(guān)系：在第 1 行，創(chuàng)建類 Student 繼承于 db.Model，表示類 Student 用于映射數(shù)據(jù)庫(kù)中的表；在第 2 行，設(shè)定 __tablename__ 為 students，表示將類 Student 映射到數(shù)據(jù)庫(kù)中的表 students。

建立屬性和字段的映射關(guān)系：在第 3 行，映射 sno 到表 students 的字段 sno，類型為整數(shù) (db.Integer)，primary_key=True 表示該字段是主鍵；在第 4 行，映射 name 到表 students 的字段 name，類型為整數(shù) (db.String); 在第 5 行，映射 age 到表 students 的字段 age，類型為整數(shù) (db.Integer)。

4.4 使用面向?qū)ο蟮恼Z(yǔ)法訪問(wèn)數(shù)據(jù)庫(kù)

使用 ORM 模型定義了關(guān)系數(shù)據(jù)庫(kù)和對(duì)象的映射關(guān)系后，可以使用面向?qū)ο蟮恼Z(yǔ)法訪問(wèn)數(shù)據(jù)庫(kù)，如下所示：

students = Student.query.all()
for student in students:
    print(student.sno, student.name, student.age)

在第 1 行，類 Student.query.all () 返回所有的學(xué)生，相當(dāng)于使用 SQL 語(yǔ)句 “SELECT * from students” 查詢所有的學(xué)生；在第 3 行，通過(guò) student.sno、student.name、student.age 即可訪問(wèn)數(shù)據(jù)庫(kù)中一條記錄的相關(guān)字段。

程序運(yùn)行輸出如下：

1 tom 11
2 jerry 12
3 mike 13

在 4.2 小節(jié)中，使用 INSERT 語(yǔ)句插入了 3 條測(cè)試數(shù)據(jù)，因此輸出顯示了這 3 條數(shù)據(jù)。

4. 源代碼下載

點(diǎn)擊下載本節(jié)的例子代碼。

5. 小結(jié)

本節(jié)介紹 ORM 模型的相關(guān)概念，使用思維導(dǎo)圖概括如下：

本節(jié)通過(guò)一個(gè)實(shí)例講解了如何在 Flask 中建立面向?qū)ο笈c關(guān)系數(shù)據(jù)庫(kù)映射關(guān)系，在下一個(gè)小節(jié)中通過(guò)一個(gè)更完整的實(shí)例講解如何使用 ORM 進(jìn)行增刪改查。