用python生成SQL语句

2024-05-29 07:44:38 发布

您现在位置:Python中文网/ 问答频道 /正文
681 3

我需要从html文件生成一个insert语句列表(对于postgresql),python是否有可用的库来帮助我正确地转义和引用名称/值?在PHP中,我使用PDO进行转义和引用,是否有python的等效库?

编辑:我需要生成一个带有sql语句的文件,以便以后执行


Tags: 文件名称编辑列表sqlpostgresqlhtml语句
3条回答
网友
1楼 · 编辑于 2024-05-29 07:44:38

SQLAlchemy为从Python生成SQL提供了a robust expression language

然而,与其他精心设计的抽象层一样,它生成的查询通过绑定变量插入数据,而不是试图将查询语言和插入到单个字符串中的数据混合起来。这种方法避免了大量的安全漏洞,否则是正确的。

网友
2楼 · 编辑于 2024-05-29 07:44:38

为了增强健壮性,我建议使用准备好的语句发送用户输入的值,不管您使用什么语言。:-)

网友
3楼 · 编辑于 2024-05-29 07:44:38

我知道这是一个老问题,但我经常想要OP想要的东西:一个用于生成基本SQL的非常简单的库。

下面的函数就是这样做的。给它们一个表名和一个包含要使用的数据的字典,它们返回所需操作的SQL查询。

键/值对表示数据库行中的字段名和值。

def read(table, **kwargs):
    """ Generates SQL for a SELECT statement matching the kwargs passed. """
    sql = list()
    sql.append("SELECT * FROM %s " % table)
    if kwargs:
        sql.append("WHERE " + " AND ".join("%s = '%s'" % (k, v) for k, v in kwargs.iteritems()))
    sql.append(";")
    return "".join(sql)


def upsert(table, **kwargs):
    """ update/insert rows into objects table (update if the row already exists)
        given the key-value pairs in kwargs """
    keys = ["%s" % k for k in kwargs]
    values = ["'%s'" % v for v in kwargs.values()]
    sql = list()
    sql.append("INSERT INTO %s (" % table)
    sql.append(", ".join(keys))
    sql.append(") VALUES (")
    sql.append(", ".join(values))
    sql.append(") ON DUPLICATE KEY UPDATE ")
    sql.append(", ".join("%s = '%s'" % (k, v) for k, v in kwargs.iteritems()))
    sql.append(";")
    return "".join(sql)


def delete(table, **kwargs):
    """ deletes rows from table where **kwargs match """
    sql = list()
    sql.append("DELETE FROM %s " % table)
    sql.append("WHERE " + " AND ".join("%s = '%s'" % (k, v) for k, v in kwargs.iteritems()))
    sql.append(";")
    return "".join(sql)

你就这么用。只要给它一个表名和一个字典(或者使用python的**kwargs特性):

>>> upsert("tbl", LogID=500, LoggedValue=5)
"INSERT INTO tbl (LogID, LoggedValue) VALUES ('500', '5') ON DUPLICATE KEY UPDATE LogID = '500', LoggedValue = '5';"

>>> read("tbl", **{"username": "morten"})
"SELECT * FROM tbl WHERE username = 'morten';"

>>> read("tbl", **{"user_type": 1, "user_group": "admin"})
"SELECT * FROM tbl WHERE user_type = '1' AND user_group = 'admin';"

但要小心SQL注入攻击

看看当代码的恶意用户执行此操作时会发生什么:

>>> read("tbl", **{"user_group": "admin'; DROP TABLE tbl; --"})
"SELECT * FROM tbl WHERE user_group = 'admin'; DROP TABLE tbl; --';"

制作自己的临时ORM很容易,但你只能得到你看到的东西——你必须自己逃避输入:)

相关问题 更多 >

    编程相关推荐

    热门问题