通过 python 脚本的 SQL 的语法(',' 附近的语法不正确)
[英]Syntax for SQL via python script (Incorrect syntax near ',')
问题描述
我正在使用 SQL 服务器,需要通过 Python 脚本运行以下 SQL
SELECT DISTINCT LEN(Wav)-CHARINDEX('.', Wav) FROM <>;
我曾尝试使用字符串,但无法弄清楚如何解决点字符。
sql = 'SELECT DISTINCT LEN(Wav)-CHARINDEX({}, Wav) FROM xxx'.format('.')
print(sql)
cursor = conn.cursor()
cursor.execute(sql)
知道如何解决这个问题
谢谢
2 个解决方案
解决方案1
2 已采纳 2021-02-24 19:08:09
'.' 是字符串. , 你想要"'.'" , 字符串'.'
>>> print("{}".format('.'))
.
>>> print("{}".format("'.'"))
'.'
正如@Justin Ezequiel的回答,请注意此处的 SQL 注射!
具体来说,未经过滤的用户输入可以并且将导致 SQL 注入,其中可以通过中断原始字符串对目标数据库运行意外命令。 这些可以执行您的连接有权执行的任何操作,例如检索、修改或删除任意数据。
传统的方法是使用准备好的语句
在 Python 中,您还可以使用正则表达式或其他测试来显式错误地检测带有控制字符的语句( if not re.match(r"^[a-zA-Z\d _+-]+$"), s):raise_ )或使用(信任)一个 escaping 库来为你做这件事,如果你必须采取任意字符串。
解决方案2
2 2021-02-24 19:09:33
使用参数来避免SQL 注入攻击。
sql = 'SELECT DISTINCT LEN(Wav)-CHARINDEX(?, Wav) FROM xxx' # note placeholder (?)
print(sql)
params = ('.',) # tuple
cursor = conn.cursor()
cursor.execute(sql, params)
ALTER TABLE 语句 -> sql 语法错误:“””附近的语法不正确:第 1 行第 49 行(在位置 49)'
[英]ALTER TABLE Statement -> sql syntax error: incorrect syntax near """: line 1 col 49 (at pos 49)'
通过Python的MS SQL pyodbc:为什么一直说语法不正确?
[英]MS SQL via Python pyodbc: why keep saying there's incorrect syntax?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Python上的SQL语法不正确
SQL 服务器:关键字“FROM”附近的语法不正确
Python 2.7 MSSQL 语法错误接近订单
意外标记'('python脚本附近的语法错误
pyodbc中's'附近的语法不正确
pyodbc '-' 附近的语法不正确。 (102)
用于python的MariaDB SQL语法接近错误括号')'
ALTER TABLE 语句 -> sql 语法错误:“””附近的语法不正确:第 1 行第 49 行(在位置 49)'
通过Python的MS SQL pyodbc:为什么一直说语法不正确?
pypyodbc:OPENJSON关键字“WITH”附近的语法不正确
相关标签