好的,所以我不是那种经验丰富的Python.
我有以下Python代码:
cursor.execute("INSERT INTO table VALUES var1, var2, var3,")
where var1是整数,var2&var3是字符串.
如何在没有python的情况下编写变量名,包括它们作为查询文本的一部分?
Aym*_*ieh 84
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
请注意,参数作为元组传递.
数据库API可以正确转义和引用变量.注意不要使用字符串格式化operator(%),因为
Ale*_*lli 61
Python DB-API的不同实现允许使用不同的占位符,因此您需要找出您正在使用的那个 - 它可能是(例如使用MySQLdb):
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
或(例如,使用Python标准库中的sqlite3):
cursor.execute("INSERT INTO table VALUES (?, ?, ?)", (var1, var2, var3))
或其他人(在VALUES你可以拥有(:1, :2, :3),或"命名样式" (:fee, :fie, :fo)或(%(fee)s, %(fie)s, %(fo)s)你传递字典而不是地图作为第二个参数execute).检查paramstyle您正在使用的DB API模块中的字符串常量,并在http://www.python.org/dev/peps/pep-0249/上查找paramstyle 以查看所有参数传递样式是什么!
Kas*_*yap 37
很多种方法.不要在实际代码中使用最明显的(%swith %),它可以攻击.
这里从sqlite3的pydoc复制粘贴:
# Never do this -- insecure!
symbol = 'RHAT'
c.execute("SELECT * FROM stocks WHERE symbol = '%s'" % symbol)
# Do this instead
t = ('RHAT',)
c.execute('SELECT * FROM stocks WHERE symbol=?', t)
print c.fetchone()
# Larger example that inserts many records at a time
purchases = [('2006-03-28', 'BUY', 'IBM', 1000, 45.00),
('2006-04-05', 'BUY', 'MSFT', 1000, 72.00),
('2006-04-06', 'SELL', 'IBM', 500, 53.00),
]
c.executemany('INSERT INTO stocks VALUES (?,?,?,?,?)', purchases)
如果您需要更多示例:
# Multiple values single statement/execution
c.execute('SELECT * FROM stocks WHERE symbol=? OR symbol=?', ('RHAT', 'MSO'))
print c.fetchall()
c.execute('SELECT * FROM stocks WHERE symbol IN (?, ?)', ('RHAT', 'MSO'))
print c.fetchall()
# This also works, though ones above are better as a habit as it's inline with syntax of executemany().. but your choice.
c.execute('SELECT * FROM stocks WHERE symbol=? OR symbol=?', 'RHAT', 'MSO')
print c.fetchall()
# Insert a single item
c.execute('INSERT INTO stocks VALUES (?,?,?,?,?)', ('2006-03-28', 'BUY', 'IBM', 1000, 45.00))
Num*_*ock 20
http://www.amk.ca/python/writing/DB-API.html
当你只是在你的语句中附加变量值时要小心:想象一下用户自己命名';DROP TABLE Users;'- 这就是你需要使用sql escaping的原因,当你以一种体面的方式使用cursor.execute时,Python会为你提供.url中的示例是:
cursor.execute("insert into Attendees values (?, ?, ?)", (name,
seminar, paid) )
对于没有经验的 Python 用户来说,提供单个值的语法可能会令人困惑。
鉴于查询
INSERT INTO mytable (fruit) VALUES (%s)
一般来说,即使值本身是单例,传递给的值cursor.execute也必须包装在有序序列(例如元组或列表)中,因此我们必须提供单个元素元组,如下所示:(value,)。
cursor.execute("""INSERT INTO mytable (fruit) VALUES (%s)""", ('apple',))
传递单个字符串
cursor.execute("""INSERT INTO mytable (fruit) VALUES (%s)""", ('apple'))
将导致错误,该错误因 DB-API 连接器而异,例如
类型错误:在字符串格式化期间并非所有参数都被转换
sqlite3.ProgrammingError:提供的绑定数量不正确。当前语句使用1,并且提供了5个
mysql.connector.errors.ProgrammingError: 1064 (42000): 您的 SQL 语法有错误;
* pymysql 连接器处理单个字符串参数不会出错。然而,最好将字符串包装在元组中,即使它是单个字符串,因为