如何安全地使用Python DB-API生成SQL LIKE语句
我正在尝试用Python的数据库接口(db-api)来组装以下的SQL语句:
SELECT x FROM myTable WHERE x LIKE 'BEGINNING_OF_STRING%';
这里的BEGINNING_OF_STRING应该是一个Python变量,应该通过数据库接口安全地填充。我试过
beginningOfString = 'abc'
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%', beginningOfString)
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%%', beginningOfString)
我现在没有其他想法了;请问正确的做法是什么?
3 个回答
-1
请注意Sqlite3的文档:
通常,你在进行SQL操作时需要使用Python变量中的值。你不应该通过Python的字符串操作来拼接你的查询,因为这样做不安全,会让你的程序容易受到SQL注入攻击。
相反,应该使用数据库API的参数替换功能。在你想要使用某个值的地方放一个?作为占位符,然后把值作为元组传递给游标的execute()方法的第二个参数。(其他数据库模块可能会使用不同的占位符,比如%s或:1。)例如:
# Never do this -- insecure! symbol = 'IBM' c.execute("... where symbol = '%s'" % symbol) # Do this instead t = (symbol,) c.execute('select * from stocks where symbol=?', t) # Larger example for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00), ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00), ('2006-04-06', 'SELL', 'IBM', 500, 53.00), ]: c.execute('insert into stocks values (?,?,?,?,?)', t)
我想你想要的是这个:
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%?%', (beginningOfString,) )
3
编辑:
正如Brian和Thomas提到的,更好的方法是使用:
beginningOfString += '%'
cursor.execute("SELECT x FROM myTable WHERE x LIKE ?", (beginningOfString,) )
因为第一种方法容易受到SQL注入攻击。
保留这段内容是为了记录历史:
尝试:
cursor.execute("SELECT x FROM myTable WHERE x LIKE '%s%%'" % beginningOfString)
26
如果可以的话,最好把参数和SQL语句分开。这样的话,你就可以让数据库模块来处理参数的正确格式化。
sql='SELECT x FROM myTable WHERE x LIKE %s'
args=[beginningOfString+'%']
cursor.execute(sql,args)