как безопасно сгенерировать оператор SQL LIKE с помощью Python db-api

StackOverflow https://stackoverflow.com/questions/2097475

Вопрос

Я пытаюсь собрать следующий оператор SQL, используя db-api Python:

SELECT x FROM myTable WHERE x LIKE 'BEGINNING_OF_STRING%';

где BEGINNING_OF_STRING должна быть переменной Python, которую можно безопасно заполнить через DB-API.Я пытался

beginningOfString = 'abc'

cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%', beginningOfString) 
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%%', beginningOfString)

У меня закончились идеи;как правильно это сделать?

Это было полезно?

Решение

Если возможно, лучше всего отделить параметры от sql.Затем вы можете позволить модулю db позаботиться о правильном цитировании параметров.

sql='SELECT x FROM myTable WHERE x LIKE %s'
args=[beginningOfString+'%']
cursor.execute(sql,args)

Другие советы

РЕДАКТИРОВАТЬ:

Как отметили Брайан и Томас, далеко лучший способ сделать это - использовать:

beginningOfString += '%'
cursor.execute("SELECT x FROM myTable WHERE x LIKE ?", (beginningOfString,) )

поскольку первый метод оставляет вас открытым для атак с использованием SQL-инъекций.

Оставлено для истории:

Пытаться: 

cursor.execute("SELECT x FROM myTable WHERE x LIKE '%s%%'" % beginningOfString)

Взять на заметку Склайт3 документация:

Обычно ваши операции SQL должны использовать значения из переменных Python.Вы не должны собирать свой запрос, используя строковые операции Python, потому что это небезопасно;Это делает вашу программу уязвимой для атаки SQL -инъекции.

Вместо этого используйте замену параметров DB-API.Помещать ?В качестве заполнителя, где бы вы ни хотели использовать значение, а затем предоставить кортеж значений в качестве второго аргумента методу Cursor's Execute ().(Другие модули базы данных могут использовать другого заполнителя, например, %s или: 1.) Например:

# Never do this -- insecure!
symbol = 'IBM'
c.execute("... where symbol = '%s'" % symbol)

# Do this instead
t = (symbol,)
c.execute('select * from stocks where symbol=?', t)

# Larger example
for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00),
          ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00),
          ('2006-04-06', 'SELL', 'IBM', 500, 53.00),
         ]:
    c.execute('insert into stocks values (?,?,?,?,?)', t)

Я думаю, вы хотите этого:

cursor.execute('SELECT x FROM myTable WHERE x LIKE '%?%', (beginningOfString,) )
Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top