Flask 实战：32、ORM 魔法

在 Web 应用里使用原生 SQL 语句操作数据库主要存在下面两类问题：

• 手动编写 SQL 语句比较乏味，而且视图函数中加入太多 SQL 语句会降低代码的易读性。另外还会容易出现安全问题，比如 SQL 注入。

• 常见的开发模式是在开发时使用简单的 SQLite，而在部署时切换到 MySQL 等更健壮的 DBMS。但是对于不同的 DBMS，我们需要使用不同的 Python 接口库，这让 DBMS 的切换变得不太容易。

注意
尽管使用 ORM 可以避免 SQL 注入问题，但你仍然需要对传入的查询参数进行验证。另外，在执行原生 SQL 语句时也要注意避免使用字符串拼接或字符串格式化的方式传入参数。

使用 ORM 可以很大程度上解决这些问题。它会自动帮你处理查询参数的转义，尽可能地避免 SQL 注入的发生。另外，它为不同的 DBMS 提供统一的接口，让切换工作变得非常简单。ORM 扮演翻译的角色，能够将我们的 Python 语言转换为 DBMS 能够读懂的 SQL 指令，让我们能够使用 Python 来操控数据库。

附注
尽管 ORM 非常方便，但如果你对 SQL 相当熟悉，那么自己编写 SQL 代码可以获得更大的灵活性和性能优势。就像是使用 IDE 一样，ORM 对初学者来说非常方便，但进阶以后你也许会想要自己掌控一切。

ORM 把底层的 SQL 数据实体转化成高层的 Python 对象，这样一来，你甚至不需要了解 SQL，只需要通过 Python 代码即可完成数据库操作，ORM 主要实现了三层映射关系：

• 表 →Python 类。

• 字段（列）→ 类属性。

• 记录（行）→ 类实例。

比如，我们要创建一个 contacts 表来存储留言，其中包含用户名称和电话号码两个字段。在 SQL 中，下面的代码用来创建这个表：

CREATE TABLE contacts(
    name varchar(100) NOT NULL,
    phone_number varchar(32),
);

​

如果使用 ORM，我们可以使用类似下面的 Python 类来定义这个表：

from foo_orm import Model, Column, String

class Contact(Model):
    __tablename__ = 'contacts'
    name = Column(String(100), nullable=False)
    phone_number = Column(String(32))

​

要向表中插入一条记录，需要使用下面的 SQL 语句：

INSERT INTO contacts(name, phone_number) 
VALUES('Grey Li', '12345678');

​

使用 ORM 则只需要创建一个 Contact 类的实例，传入对应的参数表示各个列的数据即可。下面的代码和使用上面的 SQL 语句效果相同：

contact = Contact(name='Grey Li', phone_number='12345678')

​

除了便于使用，ORM 还有下面这些优点：

• 灵活性好。你既能使用高层对象来操作数据库，又支持执行原生 SQL 语句。

• 提升效率。从高层对象转换成原生 SQL 会牺牲一些性能，但这微不足道的性能牺牲换取的是巨大的效率提升。

• 可移植性好。ORM 通常支持多种 DBMS，包括 MySQL、PostgreSQL、Oracle、SQLite 等。你可以随意更换 DBMS，只需要稍微改动少量配置。

使用 Python 实现的 ORM 有 SQLAlchemy、Peewee、PonyORM 等。其中 SQLAlchemy 是 Python 社区使用最广泛的 ORM 之一，我们将介绍如何在 Flask 程序中使用它。SQL-Alchemy，直译过来就是 SQL 炼金术，下一节我们会见识到 SQLAlchemy 的神奇力量。