Escaping MySQL reserved words with Python dbapi(使用Pythondbapi转义MySQL保留字)
本文介绍了使用Pythondbapi转义MySQL保留字的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我正在为MySQL中的保留字问题寻找一个很好的"蟒蛇"和"无SQL注入"的解决方案。
我有以下代码:
alter_sql = 'ALTER TABLE %s ADD COLUMN %s TEXT'
cursor.execute(alter_sql, sql_params)
当列名类似于‘index’、‘int’、‘Limit’时就会出现此问题...
在MySQL外壳中,我可以执行以下操作:
ALTER TABLE test ADD COLUMN test.limit;
或
ALTER TABLE test ADD COLUMN `limit`;
但不是
ALTER TABLE test ADD COLUMN 'test.limit';
如何使用Python和MySQLdb实现这一点?
推荐答案
也许这会起作用:
alter_sql = 'ALTER TABLE `%s` ADD COLUMN `%s` TEXT'
UPDATE:这似乎不起作用,因为这种方式的绑定参数将添加单引号,因为MySQLdb假定这是一个字符串文字。
或者,您可以在列名之前追加表名?
table_name = MySQLdb.escape_string(table_name)
escaped_column_name = MySQLdb.escape_string(column_name)
column_name = '`%s`.`%s`' % (table_name, escaped_column_name)
alter_sql = 'ALTER TABLE %s ADD COLUMN %s TEXT' % (table_name, column_name)
这样,您必须手动转义它们,以避免绑定它们并在其两边添加单引号。
这篇关于使用Pythondbapi转义MySQL保留字的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持编程学习网!
沃梦达教程
本文标题为:使用Pythondbapi转义MySQL保留字
基础教程推荐
猜你喜欢
- 如何在 SQL Server 的嵌套过程中处理事务? 2021-01-01
- SQL Server 2016更改对象所有者 2022-01-01
- 使用pyodbc“不安全"的Python多处理和数据库访问? 2022-01-01
- ERROR 2006 (HY000): MySQL 服务器已经消失 2021-01-01
- SQL Server:只有 GROUP BY 中的最后一个条目 2021-01-01
- 无法在 ubuntu 中启动 mysql 服务器 2021-01-01
- 在 VB.NET 中更新 SQL Server DateTime 列 2021-01-01
- Sql Server 字符串到日期的转换 2021-01-01
- SQL Server 中单行 MERGE/upsert 的语法 2021-01-01
- 将数据从 MS SQL 迁移到 PostgreSQL? 2022-01-01
