como gerar com segurança uma instrução SQL LIKE usando python db-api
-
21-09-2019 - |
Pergunta
Estou tentando montar a seguinte instrução SQL usando o db-api do python:
SELECT x FROM myTable WHERE x LIKE 'BEGINNING_OF_STRING%';
onde BEGINNING_OF_STRING deve ser um python var para ser preenchido com segurança por meio da DB-API.tentei
beginningOfString = 'abc'
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%', beginningOfString)
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%%', beginningOfString)
Estou sem ideias;Qual é a maneira correta de fazer isso?
Solução
É melhor separar os parâmetros do SQL, se puder. Em seguida, você pode deixar o módulo DB cuidar da citação adequada dos parâmetros.
sql='SELECT x FROM myTable WHERE x LIKE %s'
args=[beginningOfString+'%']
cursor.execute(sql,args)
Outras dicas
EDITAR:
Como Brian e Thomas observaram, o distante Melhor maneira de fazer isso seria usar:
beginningOfString += '%'
cursor.execute("SELECT x FROM myTable WHERE x LIKE ?", (beginningOfString,) )
Como o primeiro método deixa você aberto a ataques de injeção de SQL.
Deixado para a história:
Tentar:
cursor.execute("SELECT x FROM myTable WHERE x LIKE '%s%%'" % beginningOfString)
Tome nota de SQLite3 documentação:
Normalmente, suas operações SQL precisarão usar valores de variáveis Python.Você não deve montar sua consulta usando operações de string do Python, porque isso é inseguro;Torna seu programa vulnerável a um ataque de injeção de SQL.
Em vez disso, use a substituição de parâmetros do DB-API.Colocar ?Como espaço reservado onde quer que você queira usar um valor e, em seguida, forneça uma tupla de valores como o segundo argumento ao método Execute () do cursor.(Outros módulos de banco de dados podem usar um espaço reservado diferente, como %s ou: 1.) Por exemplo:
# Never do this -- insecure! symbol = 'IBM' c.execute("... where symbol = '%s'" % symbol) # Do this instead t = (symbol,) c.execute('select * from stocks where symbol=?', t) # Larger example for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00), ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00), ('2006-04-06', 'SELL', 'IBM', 500, 53.00), ]: c.execute('insert into stocks values (?,?,?,?,?)', t)
Acho que você quer isso:
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%?%', (beginningOfString,) )