как безопасно генерировать оператор SQL LIKE с помощью API дб Python

Принимайте к сведению SQLite3 Документация:

Обычно ваши операции SQL понадобится Использовать значения из Python переменных. Вы не должны собирать ваш запрос Использование строковых операций Python потому что это небезопасно; это делает Ваша программа уязвима для SQL Атака для инъекций.

вместо этого используйте параметр DB-API замена. Помещать ? Как заполнителем везде, где вы хотите использовать значение, и затем предоставьте кортеж ценностей как Второй аргумент к курсору Execute () метод. (Другая база данных Модули могут использовать другое заполнитель, такой как% s или: 1.) для Пример:

 # никогда не делай это - небезопасно!
символ = 'ibm'
C.Execute («... где символ =«% s »«% символ)

 # Сделать это вместо
t = (символ,)
C.execute («Выбрать * от акций, где символ =?», T)

 # Больший пример
Для т в [('2006-03-28', «Купить», IBM ', 1000, 45.00),
  («2006-04-05», «Купить», «MSOFT», 1000, 72.00),
  («2006-04-06», «Продают», «IBM», 500, 53.00),
  ]:
  C.Execute («Вставить в стоимость акций (?»,?,?,?) ', T)
 

Я думаю, что вы хотите этого:

cursor.execute('SELECT x FROM myTable WHERE x LIKE '%?%', (beginningOfString,) )

Отредактируйте:

Как отметил Брайан и Томас Далеко Лучший способ сделать это, будет использоваться:

beginningOfString += '%'
cursor.execute("SELECT x FROM myTable WHERE x LIKE ?", (beginningOfString,) )

, поскольку первый метод оставляет вас от открытия SQL инъекционные атаки.

Осталось в истории:

попробовать:

cursor.execute("SELECT x FROM myTable WHERE x LIKE '%s%%'" % beginningOfString)