堆栈内存溢出
  繁体   English   中英

在sqlite3中执行时,如何在元组多倍时间内使用值

[英]How do I use the values in the tuple miltiple times when doing an execute in sqlite3

 原文  2018-11-05 04:01:22       python/ sqlite/ sql-injection

问题描述

我正在尝试使用sqlite3的execute函数来清理得到的字符串。 但是,我无法做到这一点,因为我无法弄清楚如何多次使用元组中的值。

我能做的就是这个 

cursor.execute("""
                    select *
                    from rides r
                    where r.cno = c.cno
                    and (r.src like '%{0}%'
                    or r.dst like '%{0}%'
                    or e.lcode like '%{0}%'
                    and (r.src like '%{1}%'
                    or l3.address like '%{1}%')
                    and (r.src like '%{2}%'
                    or l1.address like '%{2}%')
                    ;
                    """.format(keywords[0], keywords[1], keywords[2]))

但是,我了解到它可以进行直射攻击,因为此处直接使用了输入。 有没有一种方法可以在执行函数的结尾多次使用元组?

1 个解决方案

解决方案1
 1 已采纳  2018-11-05 04:09:59

sqlite3将卫生设施放在文档的首位。 使用命名的占位符样式。

https://docs.python.org/3/library/sqlite3.html#sqlite3.Cursor.execute 

# This is the qmark style:
cur.execute("insert into people values (?, ?)", (who, age))

# And this is the named style:
cur.execute("select * from people where name_last=:who and age=:age", {"who": who, "age": age})

上一篇文章的答案也可以帮助您直观地看到此修复程序: https : //stackoverflow.com/a/12184247/10553976

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何在 SQLite3 中使用执行而不是执行脚本? 如何在 Python sqlite3 中使用元组选择值中的位置? 如何将数据库中的值与 SQLite3 中的变量与 python 进行比较 连接到数据库时如何让 sqlite3 使用相对路径? 如何从SQLite3表中获取数据作为浮点数? 它以元组形式返回 在sqlite3中插入变量后如何使用WHERE 如何在 sqlite3 上同时使用 OR 和 AND 语句? 在我的情况下,如何使用 sqlite3 更新 UNIQUE 值? 如何在SQLITE3中获取列值而不是列名(我的列是日期) 如何在将数据添加到sqlite3中的表的函数中使用参数?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM