出于某些原因,我希望对字符串值进行显式引用(成为构造的SQL查询的一部分),而不是等待cursor.execute
方法对其第二个参数的内容执行隐式引用。
我所说的“隐含引语”是指:
value = "Unsafe string"
query = "SELECT * FROM some_table WHERE some_char_field = %s;"
cursor.execute( query, (value,) ) # value will be correctly quoted
我更喜欢这样的:
value = "Unsafe string"
query = "SELECT * FROM some_table WHERE some_char_field = %s;" % \
READY_TO_USE_QUOTING_FUNCTION(value)
cursor.execute( query ) # value will be correctly quoted, too
Python DB API规范期望的是这样的低级READY_TO_USE_QUOTING_FUNCTION
(我在PEP 249文档中找不到这样的功能)。如果不是,也许Psycopg2提供了这样的功能?如果不是,也许Django提供了这样的功能?我不想自己写这样的函数。。。
我猜你在找mogrify函数。
示例:
好吧,所以我很好奇,就去看看精神病2的源头。原来我不需要再深入到示例文件夹:)
是的,这是心理学上的特例。基本上,如果你只想引用一个字符串,你可以这样做:
但您可能想做的是编写并注册您自己的适配器
在psycopg2的examples文件夹中,您可以找到文件'myfirstrecipe.py',这里有一个如何以特殊方式转换和引用特定类型的示例。
如果你有你想做的事情的对象,你可以创建一个符合'IPsycopgSQLQuote'协议的适配器(参见pydocs的myfirstrecipe.py示例…实际上这是我能找到的唯一引用该名称)引用你的对象,然后像这样注册它:
另外,其他的例子也很有趣;特别是'dialtone.py'和'simple.py'。
你应该尽量避免自己引用。正如人们所指出的,它不仅是特定于数据库的,而且引用中的缺陷也是SQL注入错误的根源。
如果不想分别传递查询和值,请传递参数列表:
(我可能有cursor.execute的语法错误)这里的要点是,仅仅因为cursor.execute有很多参数,并不意味着必须单独处理它们。你可以把它们作为一个列表来处理。
相关问题 更多 >
编程相关推荐