Исключение нулевого указателя генерируется, когда приложение пытается использовать null в случае, когда требуется объект. К ним относятся:
null
. null
. null
, как если бы это был массив. null
, как если бы это был массив. null
как будто это было значение Throwable. Приложения должны бросать экземпляры этого класса, чтобы указать на другие незаконные использования объекта null
.
Ссылка: http://docs.oracle.com/javase/8/docs/api/java/lang/NullPointerException.html
Лучше всего отделить параметры от sql, если сможете. Затем вы можете позволить модулю db заботиться о правильном цитировании параметров.
sql='SELECT x FROM myTable WHERE x LIKE %s'
args=[beginningOfString+'%']
cursor.execute(sql,args)
Обратите внимание на документацию Sqlite3 :
Обычно ваши операции SQL должны использовать значения из переменных Python. Вы не должны собирать свой запрос с помощью строковых операций Python, потому что это небезопасно; это делает вашу программу уязвимой для атаки SQL-инъекции.
Вместо этого используйте замену параметров DB-API. Положил ? как местозаполнитель везде, где вы хотите использовать значение, а затем предоставить кортеж значений в качестве второго аргумента методу execute () курсора. (Другие модули базы данных могут использовать другой заполнитель, например% s или: 1). Например:
blockquote># Never do this -- insecure! symbol = 'IBM' c.execute("... where symbol = '%s'" % symbol) # Do this instead t = (symbol,) c.execute('select * from stocks where symbol=?', t) # Larger example for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00), ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00), ('2006-04-06', 'SELL', 'IBM', 500, 53.00), ]: c.execute('insert into stocks values (?,?,?,?,?)', t)
Я думаю, что вы хотите это:
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%?%', (beginningOfString,) )
'%?%'
вместо '?%'
(он не был полностью последователен в запросе, который он хотел), я не вижу проблемы.
– Brian
19 January 2010 в 23:50
EDIT:
Как отметил Брайан и Томас, гораздо лучшим способом сделать это будет использование:
beginningOfString += '%'
cursor.execute("SELECT x FROM myTable WHERE x LIKE ?", (beginningOfString,) )
, поскольку первый метод дает вам возможность открыть SQL-инъекцию Атаки.
Слева за историей:
Попробуйте:
cursor.execute("SELECT x FROM myTable WHERE x LIKE '%s%%'" % beginningOfString)
"SELECT x FROM myTable WHERE x LIKE '%s%%'" % "doom' ; drop table x; select '"
К сожалению?
– Brian
19 January 2010 в 23:11
beginning
- это чистые данные. Спасибо за улов!
– Sean Vieira
19 January 2010 в 23:24