在 python 中使用 psycopg2 在参数化查询中输入字符串作为参数时出现问题
[英]Issues when input strings as parameter in parameterized query with psycopg2 in python
问题描述
现在我正在尝试使用参数化查询从数据库中读取某些内容。 为了避免 SQL 注入,我写了如下代码:
param = 'Peter'
column_name = 'employee.name'
table_name = 'employee'
param_query = 'SELECT * FROM %s WHERE %s = %s'
# Return outcome
cur.execute(param_query, [table_name, column_name, param])
outcome = cur.fetchall()
print(outcome)
我收到以下错误:
psycopg2.errors.SyntaxError: syntax error at or near "'employee'"
LINE 1: SELECT * FROM 'employee' WHERE 'employee.name' = 'Peter'
作为数据库编程的初学者,我想问:
- 我怎样才能摆脱查询中的那些引用? 或者我在这里犯了什么错误?
- 这是防止 SQL 注射的好习惯吗? 还是像这样编写参数化查询是一种好习惯?
提前谢谢你的帮助!
1 个解决方案
解决方案1
0 2020-07-13 21:03:01
问题通过以下方式解决:
param = 'Peter'.lower()
column_name = AsIs('employee.name')
table_name = AsIs('employee')
param_query = 'SELECT * FROM %s WHERE %s = %s'
# Return outcome
cur.execute(param_query, [table_name, column_name, param])
outcome = cur.fetchall()
使用psycopg2 / Python DB-API和PostgreSQL进行参数化查询
[英]Parameterized queries with psycopg2 / Python DB-API and PostgreSQL
使用 python 中的 psycopg2 使参数化 SQL select 语句
[英]make parameterized SQL select statement with psycopg2 in python
python 的 psycopg2 包和 dbeaver 客户端在执行相同的查询时返回不同的结果。 这是 psycopg2 的已知问题吗?
[英]python's psycopg2 package and dbeaver client returning different results when executing the same query. Is this a known issue with psycopg2?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Psycopg2 参数化执行查询
在python psycopg2中的更新查询中定义参数
psycopg2查询参数类型
使用psycopg2进行参数化查询:从Python列表中进行选择
使用psycopg2 / Python DB-API和PostgreSQL进行参数化查询
使用 python 中的 psycopg2 使参数化 SQL select 语句
python 的 psycopg2 包和 dbeaver 客户端在执行相同的查询时返回不同的结果。 这是 psycopg2 的已知问题吗?
psycopg2 的问题
与psycopg2相关的问题
在Python Psycopg2查询中转义字符
相关标签