我正在尝试使用python的db api组装以下SQL语句:
SELECT x FROM myTable WHERE x LIKE 'BEGINNING_OF_STRING%';
其中,字符串的开头应该是一个python变量,可以通过DB-API安全地填充。我试过了
beginningOfString = 'abc'
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%', beginningOfString)
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%%', beginningOfString)
我没主意了,正确的方法是什么?
编辑:
正如Brian和Thomas所指出的,更好的方法是使用:
因为第一个方法会让您面临SQL注入攻击。
留作历史:
尝试:
注意Sqlite3文档:
我想你想要这个:
如果可以,最好将参数与sql分离。 然后您可以让db模块处理参数的正确引用。
相关问题 更多 >
编程相关推荐