Python-Sqlite-OperationalError：在“ s”附近：语法错误

Question

Python-Sqlite-OperationalError：在“ s”附近：语法错误

Ede*_*ana 4 python sql database sqlite python-2.7

尝试向表中添加值时出现以下错误：

line 33, in insert
    c.execute("INSERT INTO {tn} (Process, Info) VALUES('{proc}', 
'{inf}')".format(tn=table_name, proc=proc, inf=content))
OperationalError: near "s": syntax error

Run Code Online (Sandbox Code Playgroud)

使用某些文本时会发生这种情况，如果我写的是常规内容，就没有问题，但是例如：

#. My item number one
#. My item number two with some more content
    and it's continuing on the second line?
#. My third item::
    Oh wait, we can put code!
#. My four item::
    No way.
.. _bottom:
    Go to top_'''

Run Code Online (Sandbox Code Playgroud)

失败了。这是我正在使用的代码：

def insert(table_name, proc, content):

    conn = sqlite3.connect(sqlite_file)
    conn.text_factory = str
    c = conn.cursor()

    c.execute("INSERT INTO {tn} (Process, Info) VALUES('{proc}', 
              '{inf}')".format(tn=table_name, proc=proc, inf=content))

    conn.commit()
    conn.close()

Run Code Online (Sandbox Code Playgroud)

感谢您的帮助人员：）

Answer 1

Mar*_*ers 6

语法错误是由于将包含元字符的数据插值到SQL查询中引起的。在您的特定示例中，您的数据包含一个'字符，并表示字符串的结尾。s那么下一个字符就是语法错误。

千万不能使用str.format()把你的数据到一个查询。使用SQL参数并将适当的转义留给数据库驱动程序：

c.execute("INSERT INTO {tn} (Process, Info) VALUES(?, ?)".format(tn=table_name),
          (proc, content))

Run Code Online (Sandbox Code Playgroud)

这两个?字符充当数据库驱动程序的占位符，以插入来自(proc, content)元组的值。驱动程序将注意正确转义这些值。

由于SQL参数只能用于值，而不能用于表等对象名，因此您仍将使用字符串格式来插入表名。您需要100％确定您不接受该table_name变量的任意不可信数据。例如，首先根据有效表名列表来审核该数据。

归档时间：	8 年，10 月前
查看次数：	2843 次
最近记录：	8 年，10 月前