โอเคฉันไม่ค่อยมีประสบการณ์ใน Python
ฉันมีรหัส Python ต่อไปนี้:
cursor.execute("INSERT INTO table VALUES var1, var2, var3,")
var1จำนวนเต็มอยู่ที่ไหนvar2& var3เป็นสตริง
ฉันจะเขียนชื่อตัวแปรโดยไม่ให้ python รวมเป็นส่วนหนึ่งของข้อความค้นหาได้อย่างไร
คำตอบ:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
โปรดทราบว่าพารามิเตอร์ถูกส่งผ่านเป็นทูเพิล
API ฐานข้อมูลทำการหลีกเลี่ยงและอ้างถึงตัวแปรอย่างเหมาะสม ระวังอย่าใช้ตัวดำเนินการจัดรูปแบบสตริง ( %) เนื่องจาก
%อะไรที่ไม่ปลอดภัยคือใช้ตัวดำเนินการจัดรูปแบบสตริง ในความเป็นจริงฉันพูดเช่นนั้นในคำตอบ
% แทน,สตริงและตัวแปรที่ดีกว่า .. ไม่สามารถยกเลิกการโหวตลงของฉันได้เนื่องจากเหตุผลหลายประการ .. โดยส่วนตัวฉันอยากเห็นคำที่ไม่ปลอดภัย / โจมตี ฯลฯ ที่กล่าวถึงในคำอธิบายที่คุณพูด ไม่ใช้%..
% ดำเนินการเพื่อจัดรูปแบบสตริง สิ่งที่%อยู่ในสตริงถูกใช้cursor.executeโดยตรงและเนื่องจากรู้ว่ากำลังสร้าง SQL จึงสามารถทำอะไรได้มากกว่านี้เพื่อปกป้องคุณ
การใช้งาน Python DB-API ที่แตกต่างกันได้รับอนุญาตให้ใช้ตัวยึดตำแหน่งที่แตกต่างกันดังนั้นคุณจะต้องค้นหาว่าคุณกำลังใช้ตัวใดอยู่ซึ่งอาจเป็น (เช่นกับ MySQLdb):
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
หรือ (เช่นด้วย sqlite3 จากไลบรารีมาตรฐาน Python):
cursor.execute("INSERT INTO table VALUES (?, ?, ?)", (var1, var2, var3))
หรืออื่น ๆ ก็ได้ (หลังจากที่VALUESคุณสามารถมี(:1, :2, :3)หรือ "ตั้งชื่อสไตล์" (:fee, :fie, :fo)หรือ(%(fee)s, %(fie)s, %(fo)s)ตำแหน่งที่คุณส่งคำสั่งแทนที่จะเป็นแผนที่เป็นอาร์กิวเมนต์ที่สองexecute) ตรวจสอบparamstyleค่าคงที่ของสตริงในโมดูล DB API ที่คุณใช้และมองหาพารามิเตอร์ที่http://www.python.org/dev/peps/pep-0249/เพื่อดูว่าสไตล์การส่งผ่านพารามิเตอร์คืออะไร!
หลายวิธี อย่าใช้รหัสที่ชัดเจนที่สุด ( %swith %) ในรหัสจริงมันเปิดให้โจมตีได้
คัดลอกวางที่นี่จาก pydoc ของ sqlite3 :
# Never do this -- insecure!
symbol = 'RHAT'
c.execute("SELECT * FROM stocks WHERE symbol = '%s'" % symbol)
# Do this instead
t = ('RHAT',)
c.execute('SELECT * FROM stocks WHERE symbol=?', t)
print c.fetchone()
# Larger example that inserts many records at a time
purchases = [('2006-03-28', 'BUY', 'IBM', 1000, 45.00),
('2006-04-05', 'BUY', 'MSFT', 1000, 72.00),
('2006-04-06', 'SELL', 'IBM', 500, 53.00),
]
c.executemany('INSERT INTO stocks VALUES (?,?,?,?,?)', purchases)
ตัวอย่างเพิ่มเติมหากคุณต้องการ:
# Multiple values single statement/execution
c.execute('SELECT * FROM stocks WHERE symbol=? OR symbol=?', ('RHAT', 'MSO'))
print c.fetchall()
c.execute('SELECT * FROM stocks WHERE symbol IN (?, ?)', ('RHAT', 'MSO'))
print c.fetchall()
# This also works, though ones above are better as a habit as it's inline with syntax of executemany().. but your choice.
c.execute('SELECT * FROM stocks WHERE symbol=? OR symbol=?', 'RHAT', 'MSO')
print c.fetchall()
# Insert a single item
c.execute('INSERT INTO stocks VALUES (?,?,?,?,?)', ('2006-03-28', 'BUY', 'IBM', 1000, 45.00))
http://www.amk.ca/python/writing/DB-API.html
โปรดใช้ความระมัดระวังเมื่อคุณเพียงต่อท้ายค่าของตัวแปรในคำสั่งของคุณลองนึกภาพว่าผู้ใช้ตั้งชื่อตัวเอง';DROP TABLE Users;'นั่นเป็นเหตุผลที่คุณต้องใช้การหลีกเลี่ยง sql ซึ่ง Python ให้ไว้สำหรับคุณเมื่อคุณใช้เคอร์เซอร์ดำเนินการในลักษณะที่เหมาะสม ตัวอย่างใน url คือ:
cursor.execute("insert into Attendees values (?, ?, ?)", (name,
seminar, paid) )
ไวยากรณ์สำหรับการระบุค่าเดียวอาจสร้างความสับสนให้กับผู้ใช้ Python ที่ไม่มีประสบการณ์
รับแบบสอบถาม
INSERT INTO mytable (fruit) VALUES (%s)
ค่าที่ส่งไปcursor.executeต้องยังคงเป็นtupleแม้ว่ามันจะเป็นเดี่ยวดังนั้นเราจึงต้องให้ tuple (value,)องค์ประกอบเดียวเช่นนี้
cursor.execute("""INSERT INTO mytable (fruit) VALUES (%s)""", ('apple',))
ในขณะเดียวกันก็มีอีกวิธีหนึ่งในการใช้f-strings :
cursor.execute(f"INSERT INTO table VALUES {var1}, {var2}, {var3},")