在 % 内转义字符串

Question

我使用 PyMySQL 从 python 中的 MySQL 数据库查询：

filter = "Pe"
connection = pymysql.connect(host="X", user="X", password="X", db="X", port=3306, cursorclass=pymysql.cursors.SSCursor)
cursor = connection.cursor()
sqlquery = "SELECT * FROM usertable WHERE name LIKE '%%s%'"
cursor.execute(sql, (filter))
response = cursor.fetchall()
connection.close()

这个returns没什么。 我可以写：

sqlquery = "SELECT * FROM usertable WHERE name LIKE '%" + filter +"%'"

并执行：cursor.execute(sql)，但是我失去了转义，这使得程序容易受到注入攻击，对吧？

有什么方法可以在不丢失转义符的情况下将值插入到 LIKE 中？

...WHERE name LIKE '%%%s%%'" 不起作用。我认为 %s 在 PyMySQL.

中作为其函数的一部分在替换的转义字符串的两侧添加 '

Answer 1

将要保留的%加倍。

sqlquery = "SELECT * FROM usertable WHERE name LIKE '%%%s%%'"

Answer 2

您需要将整个模式作为查询参数传递，并使用 元组:

filter = "%Pe%"
sql = "SELECT * FROM usertable WHERE name LIKE %s"
cursor.execute(sql, (filter,))