我不确定这里到底发生了什么,但它可能与 python 中的格式有关。 运行它会导致错误。
x = '00000201000012EB'
sql = """ SELECT * FROM table WHERE id = {} """.format(x)
conn.execute(sql)
我收到一条错误消息:“EB”附近的语法错误
但是当我像这样运行命令时:
sql = """ SELECT * FROM table WHERE id = '00000201000012EB' """
conn.execute(sql)
效果很好。
我格式化这条sql语句的方式有问题吗?
【问题讨论】:
标签: python postgresql python-3.5 psycopg2 string.format
使用变量作为execute()的参数:
cur.execute(""" SELECT * FROM my_table WHERE id = %s """, (x,))
如果你确定使用format(),你应该在占位符周围加上单引号:
sql = """ SELECT * FROM my_table WHERE id = '{}' """.format(x)
【讨论】:
execute() 带有参数在潜在的 SQL 注入上下文中更安全一些。参见例如psycopg2 and SQL injection security.
信不信由你通过在字符串中添加更多引号来修复它。
这终于奏效了。
x = '00000201000012EB'
sql = """ SELECT * FROM table WHERE id = {} """.format("'" + x + "'")
由于 sql 语句需要另一组引号,我只是添加了它们以确保将其视为自己的字符串。
【讨论】: