como gerar com segurança uma instrução SQL LIKE usando python db-api

StackOverflow https://stackoverflow.com/questions/2097475

Pergunta

Estou tentando montar a seguinte instrução SQL usando o db-api do python:

SELECT x FROM myTable WHERE x LIKE 'BEGINNING_OF_STRING%';

onde BEGINNING_OF_STRING deve ser um python var para ser preenchido com segurança por meio da DB-API.tentei

beginningOfString = 'abc'

cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%', beginningOfString) 
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%%', beginningOfString)

Estou sem ideias;Qual é a maneira correta de fazer isso?

Foi útil?

Solução

É melhor separar os parâmetros do SQL, se puder. Em seguida, você pode deixar o módulo DB cuidar da citação adequada dos parâmetros.

sql='SELECT x FROM myTable WHERE x LIKE %s'
args=[beginningOfString+'%']
cursor.execute(sql,args)

Outras dicas

EDITAR:

Como Brian e Thomas observaram, o distante Melhor maneira de fazer isso seria usar:

beginningOfString += '%'
cursor.execute("SELECT x FROM myTable WHERE x LIKE ?", (beginningOfString,) )

Como o primeiro método deixa você aberto a ataques de injeção de SQL.

Deixado para a história:

Tentar: 

cursor.execute("SELECT x FROM myTable WHERE x LIKE '%s%%'" % beginningOfString)

Tome nota de SQLite3 documentação:

Normalmente, suas operações SQL precisarão usar valores de variáveis ​​Python.Você não deve montar sua consulta usando operações de string do Python, porque isso é inseguro;Torna seu programa vulnerável a um ataque de injeção de SQL.

Em vez disso, use a substituição de parâmetros do DB-API.Colocar ?Como espaço reservado onde quer que você queira usar um valor e, em seguida, forneça uma tupla de valores como o segundo argumento ao método Execute () do cursor.(Outros módulos de banco de dados podem usar um espaço reservado diferente, como %s ou: 1.) Por exemplo:

# Never do this -- insecure!
symbol = 'IBM'
c.execute("... where symbol = '%s'" % symbol)

# Do this instead
t = (symbol,)
c.execute('select * from stocks where symbol=?', t)

# Larger example
for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00),
          ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00),
          ('2006-04-06', 'SELL', 'IBM', 500, 53.00),
         ]:
    c.execute('insert into stocks values (?,?,?,?,?)', t)

Acho que você quer isso:

cursor.execute('SELECT x FROM myTable WHERE x LIKE '%?%', (beginningOfString,) )
Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top