Python中文网 - 问答频道, 解决您学习工作中的Python难题和Bug
Python常见问题
我正在尝试动态构建包含边界约束的有效SQL语句。我的问题是,有没有像下面这样简单的方法来使用for循环构建有效的SQL语句?你知道吗
sql = 'SELECT * from table '
firststatment = True
r = dict(request.query)
for k,v in r.items():
if firststatment:
sql = sql + ' where {} = {}'.format(k,v)
firststatment = False
else:
sql = sql + ' and {} = {}'.format(k,v)
或者在这种情况下最好使用
if bondarydate1 and bondarydate2:
sql = sql + ' where year(date) between ({} and {})'.format(bondarydate1, bondarydate2)
marker = True
elif bondarydate1:
sql = sql + ' where year(date) = {}'.format(bondarydate1)
marker = True
elif bondarydate2:
sql = sql + ' where year(date) = {}'.format(bondarydate2)
marker =True
if marker and boundaryparam2:
sql = sql + ' and boundaryparam2 = {}'.format(boundaryparam2)
elif boundaryparam2:
sql = sql + ' where boundaryparam2 = {}'.format(boundaryparam2)
marker = True
if marker and boundaryparam3:
sql = sql+' and boundaryparam3 = {}'.format(boundaryparam3)
elif boundaryparam3:
sql = sql + ' where boundaryparam3 = {}'.format(boundaryparam3)
marker = True
if marker and boundaryparam4:
sql = sql + ' and boundaryparam4 = {}'.format(boundaryparam4)
elif boundaryparam4:
sql = sql + ' where boundaryparam4 = {}'.format(boundaryparam4)
marker = True
if marker and boundaryparam5:
sql = sql + ' and boundaryparam5 = {}'.format(boundaryparam5)
elif boundaryparam5:
sql = sql +' where boundaryparam5 = {}'.format(boundaryparam5)
基本上,我正在尝试以某种方式丰富有效的SQL语句,如下所示
SELECT * from x where date between bondarydate1 and boundarydate2 and column1 = dhkjf and column2 = 343
附言:
有没有一些简单的方法来构建SQL,只包含硬编码键的边界,比如r['predefined']和ifr = {'predefined':'someValue', 'sapmKey':'spamvalue'},这样就不会在查询中插入垃圾邮件值?你知道吗
Tags: andtrueformatsqlifwheremarkerelif
热门问题
- 无法从packag中的父目录导入模块
- 无法从packag导入python模块
- 无法从pag中提取所有数据
- 无法从paho python mq中的线程发布
- 无法从pandas datafram中删除列
- 无法从Pandas read_csv正确读取数据
- 无法从pandas_ml的“sklearn.preprocessing”导入名称“inputer”
- 无法从pandas_m导入ConfusionMatrix
- 无法从Pandas数据帧中选择行,从cs读取
- 无法从pandas数据框中提取正确的列
- 无法从Pandas的列名中删除unicode字符
- 无法从pandas转到dask dataframe,memory
- 无法从pandas转换。\u libs.tslibs.timestamps.Timestamp到datetime.datetime
- 无法从Parrot AR Dron的cv2.VideoCapture获得视频
- 无法从parse_args()中的子parser获取返回的命名空间
- 无法从patsy导入数据矩阵
- 无法从PayP接收ipn信号
- 无法从PC删除virtualenv目录
- 无法从PC访问Raspberry Pi中的简单瓶子网页
- 无法从pdfplumb中的堆栈溢出恢复
热门文章
- Python覆盖写入文件
- 怎样创建一个 Python 列表?
- Python3 List append()方法使用
- 派森语言
- Python List pop()方法
- Python Django Web典型模块开发实战
- Python input() 函数
- Python3 列表(list) clear()方法
- Python游戏编程入门
- 如何创建一个空的set?
- python如何定义(创建)一个字符串
- Python标准库 [The Python Standard Library by Ex
- Python网络数据爬取及分析从入门到精通(分析篇)
- Python3 for 循环语句
- Python List insert() 方法
- Python 字典(Dictionary) update()方法
- Python编程无师自通 专业程序员的养成
- Python3 List count()方法
- Python 网络爬虫实战 [Web Crawler With Python]
- Python Cookbook(第2版)中文版
是的,但是构建这样的查询不是一个好主意:它很容易允许SQL注入。你知道吗
可以使用以下代码执行此操作:
但这是不安全的:如果键或值包含反引号,黑客可能会试图导出您的数据库。你知道吗
我建议至少转义这些值(通常-希望-用户只能控制这些值),然后可以使用
%s之类的占位符,并让MySQLdb之类的库转义这些值。例如:此外,还有很多Python库(比如SQLAlchemy)可以安全地构造SQL查询(当然,如果库本身是安全的)。这通常会对应用程序的安全性产生积极影响。你知道吗
因此,我强烈建议您使用某种库与数据库进行对话。通常,它会提供一个额外的抽象级别,这很好,而且它通常会保护您免受大多数安全漏洞的攻击。你知道吗
相关问题 更多 >
编程相关推荐