как безопасно сгенерировать оператор SQL LIKE с помощью Python db-api
-
21-09-2019 - |
Вопрос
Я пытаюсь собрать следующий оператор SQL, используя db-api Python:
SELECT x FROM myTable WHERE x LIKE 'BEGINNING_OF_STRING%';
где BEGINNING_OF_STRING должна быть переменной Python, которую можно безопасно заполнить через DB-API.Я пытался
beginningOfString = 'abc'
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%', beginningOfString)
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%%', beginningOfString)
У меня закончились идеи;как правильно это сделать?
Решение
Если возможно, лучше всего отделить параметры от sql.Затем вы можете позволить модулю db позаботиться о правильном цитировании параметров.
sql='SELECT x FROM myTable WHERE x LIKE %s'
args=[beginningOfString+'%']
cursor.execute(sql,args)
Другие советы
РЕДАКТИРОВАТЬ:
Как отметили Брайан и Томас, далеко лучший способ сделать это - использовать:
beginningOfString += '%'
cursor.execute("SELECT x FROM myTable WHERE x LIKE ?", (beginningOfString,) )
поскольку первый метод оставляет вас открытым для атак с использованием SQL-инъекций.
Оставлено для истории:
Пытаться:
cursor.execute("SELECT x FROM myTable WHERE x LIKE '%s%%'" % beginningOfString)
Взять на заметку Склайт3 документация:
Обычно ваши операции SQL должны использовать значения из переменных Python.Вы не должны собирать свой запрос, используя строковые операции Python, потому что это небезопасно;Это делает вашу программу уязвимой для атаки SQL -инъекции.
Вместо этого используйте замену параметров DB-API.Помещать ?В качестве заполнителя, где бы вы ни хотели использовать значение, а затем предоставить кортеж значений в качестве второго аргумента методу Cursor's Execute ().(Другие модули базы данных могут использовать другого заполнителя, например, %s или: 1.) Например:
# Never do this -- insecure! symbol = 'IBM' c.execute("... where symbol = '%s'" % symbol) # Do this instead t = (symbol,) c.execute('select * from stocks where symbol=?', t) # Larger example for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00), ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00), ('2006-04-06', 'SELL', 'IBM', 500, 53.00), ]: c.execute('insert into stocks values (?,?,?,?,?)', t)
Я думаю, вы хотите этого:
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%?%', (beginningOfString,) )