Я пытаюсь собрать следующий SQL-оператор с помощью API дб Python:
SELECT x FROM myTable WHERE x LIKE 'BEGINNING_OF_STRING%';
где BEGINNING_OF_STRING должен быть var Python, чтобы быть безопасно заполненным в через DB-API. Я попробовал
beginningOfString = 'abc'
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%', beginningOfString)
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%%', beginningOfString)
Я вне идей; что корректный путь состоит в том, чтобы сделать это?
Лучше всего разделить параметры от SQL, если сможете. Тогда вы можете позволить модулю БД заботиться о правильном цитировании параметров.
sql='SELECT x FROM myTable WHERE x LIKE %s'
args=[beginningOfString+'%']
cursor.execute(sql,args)
Принимайте к сведению SQLite3 Документация:
Обычно ваши операции SQL понадобится Использовать значения из Python переменных. Вы не должны собирать ваш запрос Использование строковых операций Python потому что это небезопасно; это делает Ваша программа уязвима для SQL Атака для инъекций.
вместо этого используйте параметр DB-API замена. Помещать ? Как заполнителем везде, где вы хотите использовать значение, и затем предоставьте кортеж ценностей как Второй аргумент к курсору Execute () метод. (Другая база данных Модули могут использовать другое заполнитель, такой как% s или: 1.) для Пример:
# никогда не делай это - небезопасно! символ = 'ibm' C.Execute («... где символ =«% s »«% символ) # Сделать это вместо t = (символ,) C.execute («Выбрать * от акций, где символ =?», T) # Больший пример Для т в [('2006-03-28', «Купить», IBM ', 1000, 45.00), («2006-04-05», «Купить», «MSOFT», 1000, 72.00), («2006-04-06», «Продают», «IBM», 500, 53.00), ]: C.Execute («Вставить в стоимость акций (?»,?,?,?) ', T)
Я думаю, что вы хотите этого:
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%?%', (beginningOfString,) )
Отредактируйте:
Как отметил Брайан и Томас Далеко Лучший способ сделать это, будет использоваться:
beginningOfString += '%'
cursor.execute("SELECT x FROM myTable WHERE x LIKE ?", (beginningOfString,) )
, поскольку первый метод оставляет вас от открытия SQL инъекционные атаки.
Осталось в истории:
попробовать:
cursor.execute("SELECT x FROM myTable WHERE x LIKE '%s%%'" % beginningOfString)