如何使用Python DB-API安全地生成SQL LIKE语句

Question

我想使用Python的DB-API组装下面的SQL语句：

SELECT x FROM myTable WHERE x LIKE 'BEGINNING_OF_STRING%';

其中BEGINNING_OF_STRING应该是一个python变种通过DB-API被安全地填充。我试图

beginningOfString = 'abc'

cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%', beginningOfString) 
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%%', beginningOfString)

我的观点出;什么是做到这一点？

的正确方法

Answer 1

这是最好的，如果你可以将参数从SQL分开。 然后，你可以让数据库模块，注意正确的参数引用。

sql='SELECT x FROM myTable WHERE x LIKE %s'
args=[beginningOfString+'%']
cursor.execute(sql,args)

Answer 2

修改

布赖恩和托马斯指出，在据更好的方式来做到这一点是使用：

beginningOfString += '%'
cursor.execute("SELECT x FROM myTable WHERE x LIKE ?", (beginningOfString,) )

由于第一方法叶片打开到SQL注入攻击。

---

左在历史：

尝试：

cursor.execute("SELECT x FROM myTable WHERE x LIKE '%s%%'" % beginningOfString)

Answer 3

注意到 SQLITE3 文件：

  

通常你的SQL操作都需要   使用在Python变量的值。   你不应该组装查询   使用Python的字符串操作   因为这样做是不安全的;它使   你的程序容易受到SQL   注入攻击。

     

相反，使用DB-API的参数   替代。把？作为一个占位符   无论你想使用的值，并   然后提供值作为元组   第二个参数光标   execute（）方法。 （其他数据库   模块可使用不同的   占位符，如％S或：1）对于   例如：

# Never do this -- insecure!
symbol = 'IBM'
c.execute("... where symbol = '%s'" % symbol)

# Do this instead
t = (symbol,)
c.execute('select * from stocks where symbol=?', t)

# Larger example
for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00),
          ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00),
          ('2006-04-06', 'SELL', 'IBM', 500, 53.00),
         ]:
    c.execute('insert into stocks values (?,?,?,?,?)', t)

我想你想要这样的：

cursor.execute('SELECT x FROM myTable WHERE x LIKE '%?%', (beginningOfString,) )