那些遇到过的问题

使用python生成SQL语句

Jef*_*y04 10 python sql postgresql psycopg2

我需要从html文件生成一个insert语句列表(对于postgresql),是否有可用于python的库来帮助我正确转义并引用名称/值?在PHP中,我使用PDO进行转义和引用,是否有任何等效的python库?

编辑:我需要生成一个带有sql语句的文件,以便以后执行

Mor*_*sen 21

我知道这是一个老问题,但我经常想要OP想要的东西:一个非常简单的库,用于生成基本的SQL.

以下功能就是这样做的.您为它们提供了一个表名和一个包含您要使用的数据的字典,它们返回您需要的操作的SQL查询.

键/值对表示数据库行中的字段名称和值.

def read(table, **kwargs):
    """ Generates SQL for a SELECT statement matching the kwargs passed. """
    sql = list()
    sql.append("SELECT * FROM %s " % table)
    if kwargs:
        sql.append("WHERE " + " AND ".join("%s = '%s'" % (k, v) for k, v in kwargs.iteritems()))
    sql.append(";")
    return "".join(sql)


def upsert(table, **kwargs):
    """ update/insert rows into objects table (update if the row already exists)
        given the key-value pairs in kwargs """
    keys = ["%s" % k for k in kwargs]
    values = ["'%s'" % v for v in kwargs.values()]
    sql = list()
    sql.append("INSERT INTO %s (" % table)
    sql.append(", ".join(keys))
    sql.append(") VALUES (")
    sql.append(", ".join(values))
    sql.append(") ON DUPLICATE KEY UPDATE ")
    sql.append(", ".join("%s = '%s'" % (k, v) for k, v in kwargs.iteritems()))
    sql.append(";")
    return "".join(sql)


def delete(table, **kwargs):
    """ deletes rows from table where **kwargs match """
    sql = list()
    sql.append("DELETE FROM %s " % table)
    sql.append("WHERE " + " AND ".join("%s = '%s'" % (k, v) for k, v in kwargs.iteritems()))
    sql.append(";")
    return "".join(sql)
Run Code Online (Sandbox Code Playgroud)

你这样使用它.只需给它一个表名和一个字典(或使用python的**kwargs特性):

>>> upsert("tbl", LogID=500, LoggedValue=5)
"INSERT INTO tbl (LogID, LoggedValue) VALUES ('500', '5') ON DUPLICATE KEY UPDATE LogID = '500', LoggedValue = '5';"

>>> read("tbl", **{"username": "morten"})
"SELECT * FROM tbl WHERE username = 'morten';"

>>> read("tbl", **{"user_type": 1, "user_group": "admin"})
"SELECT * FROM tbl WHERE user_type = '1' AND user_group = 'admin';"
Run Code Online (Sandbox Code Playgroud)

但请注意SQL注入攻击

看看代码的恶意用户执行此操作时会发生什么:

>>> read("tbl", **{"user_group": "admin'; DROP TABLE tbl; --"})
"SELECT * FROM tbl WHERE user_group = 'admin'; DROP TABLE tbl; --';"
Run Code Online (Sandbox Code Playgroud)

制作你自己的临时ORM很容易,但你只得到你所看到的 - 你必须自己逃避输入:)

Cha*_*ffy 10

SQLAlchemy提供了一种强大的表达式语言,用于从Python生成SQL.

然而,与其他精心设计的抽象层一样,它生成的查询通过绑定变量插入数据,而不是通过尝试混合查询语言和插入到单个字符串中的数据.这种方法避免了大规模的安全漏洞,而且是正确的事情.

  • 链接已死。我认为这是相关文档:http://docs.sqlalchemy.org/en/latest/core/expression_api.html (2认同)

Chr*_*ung 2

为了稳健性,我建议使用准备好的语句来发送用户输入的值,无论您使用什么语言。:-)

归档时间:

查看次数:

35598 次

最近记录:

8 年,4 月 前
如何显式引用字符串值(Python DB API/Psycopg2) 27
如何显式引用字符串值(Python DB API/Psycopg2) 27
更多相关链接
相关归档
ORDER BY子句在视图,内联函数,派生表,子查询和公用表表达式中无效 64
暂时重定向stdout/stderr 55
在Python中编写具有特定权限的文件 51
将文本表示中的十六进制转换为十进制数 33
SQL在字段中的位置获取char 26
我如何比较同一个表中的2行(SQL Server) 18
INSERT RETURNING是否保证以"正确"的顺序返回内容? 18
Postgresql 归档旧数据 6
用户断开连接后 PostgreSQL 咨询锁仍保留 6
查询每天布尔列的累积总和 5
难疑归档
电话和申请有什么区别? 3012
Flash CS4拒绝放手 2735
什么是__init__.py? 2074
如何在不注销并重新登录的情况下重新加载.bashrc? 1510
修复一个Git分离的头? 1318
如何克隆仅Git存储库的子目录? 1298
如何将键/值对添加到JavaScript对象? 1270
检查Ruby中的数组中是否存在值 1258
在Python中检查类型的规范方法是什么? 1171
迭代集合,在循环中删除对象时避免使用ConcurrentModificationException 1158