如何使用Python DB-API安全地生成SQL LIKE语句
-
21-09-2019 - |
题
我想使用Python的DB-API组装下面的SQL语句:
SELECT x FROM myTable WHERE x LIKE 'BEGINNING_OF_STRING%';
其中BEGINNING_OF_STRING应该是一个python变种通过DB-API被安全地填充。我试图
beginningOfString = 'abc'
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%', beginningOfString)
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%%', beginningOfString)
我的观点出;什么是做到这一点?
的正确方法解决方案
这是最好的,如果你可以将参数从SQL分开。 然后,你可以让数据库模块,注意正确的参数引用。
sql='SELECT x FROM myTable WHERE x LIKE %s'
args=[beginningOfString+'%']
cursor.execute(sql,args)
其他提示
修改强>
布赖恩和托马斯指出,在据更好的方式来做到这一点是使用:
beginningOfString += '%'
cursor.execute("SELECT x FROM myTable WHERE x LIKE ?", (beginningOfString,) )
由于第一方法叶片打开到SQL注入攻击。
左在历史:
尝试:
cursor.execute("SELECT x FROM myTable WHERE x LIKE '%s%%'" % beginningOfString)
注意到 SQLITE3 文件:
通常你的SQL操作都需要 使用在Python变量的值。 你不应该组装查询 使用Python的字符串操作 因为这样做是不安全的;它使 你的程序容易受到SQL 注入攻击。
相反,使用DB-API的参数 替代。把?作为一个占位符 无论你想使用的值,并 然后提供值作为元组 第二个参数光标 execute()方法。 (其他数据库 模块可使用不同的 占位符,如%S或:1)对于 例如:
# Never do this -- insecure! symbol = 'IBM' c.execute("... where symbol = '%s'" % symbol) # Do this instead t = (symbol,) c.execute('select * from stocks where symbol=?', t) # Larger example for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00), ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00), ('2006-04-06', 'SELL', 'IBM', 500, 53.00), ]: c.execute('insert into stocks values (?,?,?,?,?)', t)
我想你想要这样的:
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%?%', (beginningOfString,) )
不隶属于 StackOverflow