Estoy tratando de usar una etiqueta en una cláusula de tener con sqlalchemy, pero tengo problemas para que funcione. Estoy intentando algo como esto:

qry = db.session.query(
         Foo.id,
         Foo.name,
         (Foo.max_stuff - func.sum(Bar.stuff)).label('rstuff')
).join(Bar) \
 .group_by(Foo.id) \
 .having('rstuff' >= "some_data_passed_in_by_customer")

for res in qry.all(): 
    print res

Pero obtén el error:

sqlalchemy.exc.ArgumentError: having() argument must be of type sqlalchemy.sql.ClauseElement or string

Si trato de cambiar la declaración have a:

.having('rstuff >= "some_data_passed_in_by_customer"')

Entonces parece funcionar bien, pero supongo que eso conduciría a una vulnerabilidad de inyección sql. Podría hacerlo a través de sql sin formato, pero me gustaría evitarlo si pudiera. ¿Algunas ideas?