使用 Python 和 mySQL 进行动态 SQL 查询答案

【问题标题】：Dynamic SQL Queries with Python and mySQL使用 Python 和 mySQL 进行动态 SQL 查询
【发布时间】：2021-09-20 19:20:45
【问题描述】：

我有多个表在网格中的值更改后更新。这些表并不总是具有相同的键或列，因此我无法明确命名列或格式。唯一相同的是键所在的列。我知道我目前这样做的方式是不正确的，这让我很容易受到注入攻击。

我还遇到了一个问题，其中一些值包含在 SQL 语句中引发错误的键。比如更新WHERE email = t'est@email.com。

我不太确定编写这些语句的正确方法。我做了一些研究，看到了多种用于不同目的的方法，但不确定哪种方法合适。我希望尽可能动态地执行此操作。谁能指出我正确的方向？

连接：

import mysql.connector as sql
import MySQLdb

#Connect
self.db_name = 'database'
        self.server = 'server'
        self.user_id = 'user'
        self.pw = 'password'

        try:
            self.db_con = MySQLdb.connect(user=self.user_id,password=self.pw,database=self.db_name,
                                    host=self.server,charset='utf8',autocommit=True)
            self.cursor = self.db_con.cursor()
        except:
            print("Error connecting")

SQL 语句：

key_id =  str("'") + self.GetCellValue(event.GetRow(),1) +  str("'")    
        target_col = self.GetColLabelValue(event.GetCol())
        key_col = self.GetColLabelValue(1)                                     
        nVal = str("'") + self.GetCellValue(event.GetRow(),event.GetCol()) +  str("'")

#SQL STATEMENTS
        sql_update = "UPDATE " + tbl + " SET " +  target_col + " = " + nVal + " WHERE " + key_col  +  " = " + key_id + ""
        

#INSERT
        sql_update = ("INSERT INTO " + str(self.tbl) + "(" + self.key_col + ")" + "VALUES (" + str("'") + str(val) + str("'") + ")")

#DELETE
        sql_update = "DELETE FROM " + tbl + " WHERE " + self.key_col + " = " + self.key_id + ""

#SELECT
        sql_query = "SELECT * FROM " + self.tbl 

#Excecute
        try:
            self.cursor.execute(sql_update)
            
            
        except:
            print('Error')
            self.db_con.rollback()

【问题讨论】：

你从哪里得到查询的值，你有任何前端吗？
值数据库和服务器在我的代码中是明确的。用户和密码在用户登录时确定。Tbl 由组合框中的选择确定。 Target_col、key_col、key_id 和 nVal 是从 wxgrid 表中提取的

标签： python mysql sql mysql-python

【解决方案1】：

数据库对于“引用”identifiers（表和列名等）和值（数据）有不同的表示法。

MySQL 使用 反引号 来引用标识符。对于值，最好使用连接器包提供的参数替换机制：它更有可能正确处理嵌入引号等棘手的情况，并且会降低 SQL 注入的风险。

这是一个插入示例；相同的技术可用于其他类型的查询。

key_id =  str("'") + self.GetCellValue(event.GetRow(),1) +  str("'")    
target_col = self.GetColLabelValue(event.GetCol())
key_col = self.GetColLabelValue(1)                                     
nVal = str("'") + self.GetCellValue(event.GetRow(),event.GetCol()) +  str("'")
        

#INSERT (using f-strings for brevity)
sql_update = (f"INSERT INTO `{self.tbl}` (`{self.key_col}`) VALUES (%s)")

# Pass the statement and values to cursor.execute.  
# The values are assumed to be a sequence, so a single value should be 
# placed in a tuple or list.
self.cursor.execute(sql_update, (nVal,))

如果您有多个列/值对，您可以执行以下操作：

cols = ['A', 'B', 'C']
vals = ['a', 'b', 'c']

col_names = ','.join([f'`{c}`' for c in cols])
values_placeholder = ','.join(['%s'] * len(cols))

sql_update = (f"INSERT INTO `{self.tbl}` (col_names) VALUES ({values_placeholder})")
self.cursor.execute(sql_update, vals)

值不仅是用于插入的数据，也是我们用于比较的数据，例如在WHERE 子句中。因此，可能会像这样创建带有过滤器的更新语句：

sql_update = (f"UPDATE `{tbl}` SET (`{target_col}`) = (%s) WHERE (`{key_col}`) = %s")
self.cursor.execute(sql_update, (nVal, key_id))

但有时SET 或WHERE 子句的目标可能是一列，例如我们希望根据行中的其他值进行更新。例如，对于key_col 等于other_key_col 的所有行，此语句会将target_col 设置为other_col 的值：

sql_update = (f"UPDATE `{tbl}` SET (`{target_col}`) = `{other_col}` WHERE (`{key_col}`) = `{other_key_col}`")
self.cursor.execute(sql_update)

【讨论】：

这很好用！不过应该是self.cursor.execute
你能多解释一下这个方法或者给我一些阅读材料吗？我能够成功地制作插入和删除语句。但是，我不能让 Update 语句像这样工作，我不明白为什么。 sql_update = (f"UPDATE {tbl} SET ({target_col}) = (%s) WHERE ({key_col}) = {key_id}")。 self.cursor.execute(sql_update, (nVal,))