Гаразд, я не такий досвідчений у Python.
У мене є такий код Python:
cursor.execute("INSERT INTO table VALUES var1, var2, var3,")де var1- ціле число, var2& - var3це рядки.
Як я можу писати імена змінних без python, включаючи їх як частину тексту запиту?
Відповіді:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))Зверніть увагу, що параметри передаються як кортеж.
API бази даних робить правильне екранування та цитування змінних. Будьте обережні, щоб не використовувати оператор форматування рядків ( %), оскільки
%. Насправді я так кажу у відповіді.
% замість того, ,щоб між рядком і змінними .. не можу скасувати моє зменшення голосу через різні причини .. Я особисто хотів би, щоб у описі були згадані такі слова, як небезпечний / атака тощо не %
% оператор для форматування рядка. Ті, хто входить %до рядка, використовуються cursor.executeбезпосередньо, і оскільки він знає, що він генерує SQL, він може зробити більше, щоб захистити вас.
Різні реалізації Python DB-API дозволяють використовувати різні заповнювачі, тому вам потрібно буде з’ясувати, який саме ви використовуєте - це може бути (наприклад, з MySQLdb):
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))або (наприклад, з sqlite3 зі стандартної бібліотеки Python):
cursor.execute("INSERT INTO table VALUES (?, ?, ?)", (var1, var2, var3))або інші ще (після VALUESтого, як ви могли мати (:1, :2, :3), або "названі стилі", (:fee, :fie, :fo)або (%(fee)s, %(fie)s, %(fo)s)де ви передаєте дикт замість карти як другий аргумент execute). Перевірте paramstyleконстанту рядка в модулі DB API, який ви використовуєте, і знайдіть парамстиль на http://www.python.org/dev/peps/pep-0249/, щоб побачити, якими є всі стилі передавання параметрів!
Багато шляхів. НЕ використовуйте найбільш очевидний ( %sз %) у реальному коді, він відкритий для атак .
Ось скопіюйте-вставіть із pydoc з sqlite3 :
# Never do this -- insecure!
symbol = 'RHAT'
c.execute("SELECT * FROM stocks WHERE symbol = '%s'" % symbol)
# Do this instead
t = ('RHAT',)
c.execute('SELECT * FROM stocks WHERE symbol=?', t)
print c.fetchone()
# Larger example that inserts many records at a time
purchases = [('2006-03-28', 'BUY', 'IBM', 1000, 45.00),
('2006-04-05', 'BUY', 'MSFT', 1000, 72.00),
('2006-04-06', 'SELL', 'IBM', 500, 53.00),
]
c.executemany('INSERT INTO stocks VALUES (?,?,?,?,?)', purchases)Інші приклади, якщо вам потрібно:
# Multiple values single statement/execution
c.execute('SELECT * FROM stocks WHERE symbol=? OR symbol=?', ('RHAT', 'MSO'))
print c.fetchall()
c.execute('SELECT * FROM stocks WHERE symbol IN (?, ?)', ('RHAT', 'MSO'))
print c.fetchall()
# This also works, though ones above are better as a habit as it's inline with syntax of executemany().. but your choice.
c.execute('SELECT * FROM stocks WHERE symbol=? OR symbol=?', 'RHAT', 'MSO')
print c.fetchall()
# Insert a single item
c.execute('INSERT INTO stocks VALUES (?,?,?,?,?)', ('2006-03-28', 'BUY', 'IBM', 1000, 45.00))http://www.amk.ca/python/writing/DB-API.html
Будьте обережні, коли просто додаєте значення змінних до своїх висловлювань: Уявіть, що користувач називає себе ';DROP TABLE Users;'- Ось чому вам потрібно використовувати екранування sql, яке Python надає вам, коли ви гідно використовуєте cursor.execute. Приклад в URL-адресі:
cursor.execute("insert into Attendees values (?, ?, ?)", (name,
seminar, paid) )