Python Sqlite3 - 使用 f 字符串更新数据库功能
Python Sqlite3 - Using f strings for update database function
我有自己的个人数据库,我只是为了好玩而制作的(所以不关心 sql 注入作为我自己制作的私人数据库)并且我正在尝试更改我创建的使用字符串格式的函数( .format()) 和占位符(?、%s 等)并改用 f 字符串。我 运行 遇到一个问题,我的一个将指定列更新到指定行的函数不会 运行 现在我将 sqlite3 查询更改为 f 字符串。
这是我当前使用 f 字符串的函数:
import sqlite3
from tabulate import tabulate
conn = sqlite3.connect("Table.db")
c = conn.cursor()
def updatedb(Column, Info, IdNum):
with conn:
data = c.execute(f"UPDATE Table_name SET {Column} = {Info} WHERE IdNum={IdNum}")
c.execute(f"SELECT * FROM Table_name WHERE IdNum = {IdNum}")
print(tabulate(data, headers="keys", tablefmt="grid", stralign='center', numalign='center'))
该函数通过在指定行的指定列中更新该列中所需的新信息来更新 table。例如,在 3 x 3 table 中,如果第 1 行第 2 列是 17,我可以使用该函数将第 1 行第 2 列更新为 18(如果该列是年龄或其他内容)。之后的 select 查询只是 select 更新的特定行,之后的打印语句使用 tabulate 包打印出整洁有序的 table.
每当我尝试使用此功能时遇到的错误是:
sqlite3.OperationalError: no such column: Info
无论我在函数中为 Info 变量输入什么,都会出现错误,但我不知道如何解决这个问题。
这是我在尝试更改为 f 字符串之前的更新语句,对我来说效果很好:
data = c.execute("UPDATE Table_name SET {} = ? WHERE IdNum=?".format(Column), (Info, IdNum))
将上述查询更改为 f 字符串似乎不会有太大变化,但它不起作用,因此我们将不胜感激。
这里的问题是理解参数化 - 它仅适用于参数,不适用于列名和其他内容。
在这个例子中:
query = 'SELECT * FROM foo WHERE bar = ? AND baz = ?'
params = (a, b)
cursor.execute(query, params)
请注意,查询和数据分别 传递给.execute - 数据库的工作是进行插值 - 这使您免于引用地狱,并且通过禁用任何类型的 sql 注入使您的程序更安全。它还可以执行得更好 - 它允许数据库缓存编译的查询并在您更改参数时使用它。
现在仅适用于 数据。如果你想在变量中有实际的列名,你必须自己在查询中插入它:
col1 = 'bar'
col2 = 'baz'
query = f'SELECT * FROM foo WHERE {col1} = ? AND {col2} = ?'
cursor.execute(query, params)
参数化和字符串替换是两个截然不同的东西。
在最基本的层面上,您的问题是字符串替换正在生成以下形式的命令:
. . . SET some_column = some_info . . .
其中 SQL 需要
. . . SET some_column = 'some_info' . . .
(即字符串值两边的引号)。 SQLite 将未加引号的字符串解释为由列名组成的表达式。
您可能相信,仅通过在格式字符串中添加单引号无法解决此问题。如果替换值本身包含单引号会怎样?这种方式既存在字符串转义的疯狂,也存在 SQL 注入的危险。
相反,只需使用参数化。
但是,请注意,您不能参数化列名称 ({Column}),您必须为此使用字符串替换,同时注意不允许注入发生。
要改进 nosklo's answer above concerning the use of f-strings,您只需在变量周围使用转义引号,以便将它们作为字符串发送到 SQLite:
import sqlite3
conn = sqlite3.connect("somedatabase.db")
c = conn.cursor()
def updatedb(colname, colvalue, rowid):
with conn:
c.execute(f"UPDATE tablename SET \"{colname}\" = \"{colvalue}\" WHERE rowidentifier = \"{rowid}\"")
注意
出于安全原因,请勿对依赖外部用户输入的数据库使用字符串插值。但是,如果你清理输入字符串,我想你可以让它工作。
我正在使用 mysql.connector
query = "INSERT INTO PICS (name,image) VALUES (%s,%s)"
param = (fname, DATA)
cursor.execute(query, param)
print("DONEEEEEE" * 100)
conn.commit()
cursor.close()
conn.close()
这是针对 '8.0.27' 的最新版本
2021 年
这对我有用!!!!
我有自己的个人数据库,我只是为了好玩而制作的(所以不关心 sql 注入作为我自己制作的私人数据库)并且我正在尝试更改我创建的使用字符串格式的函数( .format()) 和占位符(?、%s 等)并改用 f 字符串。我 运行 遇到一个问题,我的一个将指定列更新到指定行的函数不会 运行 现在我将 sqlite3 查询更改为 f 字符串。
这是我当前使用 f 字符串的函数:
import sqlite3
from tabulate import tabulate
conn = sqlite3.connect("Table.db")
c = conn.cursor()
def updatedb(Column, Info, IdNum):
with conn:
data = c.execute(f"UPDATE Table_name SET {Column} = {Info} WHERE IdNum={IdNum}")
c.execute(f"SELECT * FROM Table_name WHERE IdNum = {IdNum}")
print(tabulate(data, headers="keys", tablefmt="grid", stralign='center', numalign='center'))
该函数通过在指定行的指定列中更新该列中所需的新信息来更新 table。例如,在 3 x 3 table 中,如果第 1 行第 2 列是 17,我可以使用该函数将第 1 行第 2 列更新为 18(如果该列是年龄或其他内容)。之后的 select 查询只是 select 更新的特定行,之后的打印语句使用 tabulate 包打印出整洁有序的 table.
每当我尝试使用此功能时遇到的错误是:
sqlite3.OperationalError: no such column: Info
无论我在函数中为 Info 变量输入什么,都会出现错误,但我不知道如何解决这个问题。
这是我在尝试更改为 f 字符串之前的更新语句,对我来说效果很好:
data = c.execute("UPDATE Table_name SET {} = ? WHERE IdNum=?".format(Column), (Info, IdNum))
将上述查询更改为 f 字符串似乎不会有太大变化,但它不起作用,因此我们将不胜感激。
这里的问题是理解参数化 - 它仅适用于参数,不适用于列名和其他内容。
在这个例子中:
query = 'SELECT * FROM foo WHERE bar = ? AND baz = ?'
params = (a, b)
cursor.execute(query, params)
请注意,查询和数据分别 传递给.execute - 数据库的工作是进行插值 - 这使您免于引用地狱,并且通过禁用任何类型的 sql 注入使您的程序更安全。它还可以执行得更好 - 它允许数据库缓存编译的查询并在您更改参数时使用它。
现在仅适用于 数据。如果你想在变量中有实际的列名,你必须自己在查询中插入它:
col1 = 'bar'
col2 = 'baz'
query = f'SELECT * FROM foo WHERE {col1} = ? AND {col2} = ?'
cursor.execute(query, params)
参数化和字符串替换是两个截然不同的东西。
在最基本的层面上,您的问题是字符串替换正在生成以下形式的命令:
. . . SET some_column = some_info . . .
其中 SQL 需要
. . . SET some_column = 'some_info' . . .
(即字符串值两边的引号)。 SQLite 将未加引号的字符串解释为由列名组成的表达式。
您可能相信,仅通过在格式字符串中添加单引号无法解决此问题。如果替换值本身包含单引号会怎样?这种方式既存在字符串转义的疯狂,也存在 SQL 注入的危险。
相反,只需使用参数化。
但是,请注意,您不能参数化列名称 ({Column}),您必须为此使用字符串替换,同时注意不允许注入发生。
要改进 nosklo's answer above concerning the use of f-strings,您只需在变量周围使用转义引号,以便将它们作为字符串发送到 SQLite:
import sqlite3
conn = sqlite3.connect("somedatabase.db")
c = conn.cursor()
def updatedb(colname, colvalue, rowid):
with conn:
c.execute(f"UPDATE tablename SET \"{colname}\" = \"{colvalue}\" WHERE rowidentifier = \"{rowid}\"")
注意
出于安全原因,请勿对依赖外部用户输入的数据库使用字符串插值。但是,如果你清理输入字符串,我想你可以让它工作。
我正在使用 mysql.connector
query = "INSERT INTO PICS (name,image) VALUES (%s,%s)"
param = (fname, DATA)
cursor.execute(query, param)
print("DONEEEEEE" * 100)
conn.commit()
cursor.close()
conn.close()
这是针对 '8.0.27' 的最新版本 2021 年
这对我有用!!!!