将参数传递给 LIKE SQL 查询答案

【问题标题】：Passing parameters to LIKE SQL query将参数传递给 LIKE SQL 查询
【发布时间】：2021-09-27 14:27:52
【问题描述】：

我想使用来自查询参数的快速 API (Python) 将动态参数传递给 LIKE 查询。我尝试了很多方法，但我不知道我做错了什么。

我需要使用的查询是： SELECT Time, table_id, Text FROM tablename WHERE Text LIKE '%text%'

获取查询参数的python代码为：

def get_result(text : str):
   con = connection.connect()
   statement = 'SELECT Time, table_id, Text FROM tablename WHERE Text LIKE '%text%''

我将如何在此查询中传递动态文本参数，因为这会给出错误提示“TypeError：并非所有参数都在字符串格式化期间转换”？

【问题讨论】：

这能回答你的问题吗？ TypeError: not all arguments converted during string formatting python
NEVER 将值直接替换为这样的 SQL 字符串。永远。使用参数化查询/绑定变量。

【解决方案1】：

您不能嵌套单引号。此外，在这里使用 f-string 进行字符串格式化会更清楚。试试：

statement = f"SELECT Time, table_id, Text FROM tablename WHERE Text LIKE '%{text}%'"

【讨论】：

【解决方案2】：

绝不将值直接替换为这样的 SQL 字符串。永远。使用参数化查询/绑定变量。

例如，根据您使用的驱动程序/库，您可能可以使用...

con = connection.connect()
cur = con.cursor()
cur.execute("SELECT Time, table_id, Text FROM tablename WHERE Text LIKE %s", ('%' + text + '%',))

【讨论】：