使用 MySQLdb 将整数和字符串添加到 MySql 服务器

Question

我正在使用MySQLdb 将大量数据从文本文件上传到 MySQL 服务器。如果我手动准备一个字符串（例如'as', '123', 12, 23），这可以正常工作，但是我不知道如何循环遍历一个列表来生成它，因为我需要连接字符串和整数。

一个有效的插入语句示例如下：

""" INSERT INTO ACS(ST, CODE, BC001, BC002, BC003) 
VALUES ('AK', '1234567', 20, 30, 40)""" 

这就是我尝试从列表中生成此语句的方式：

import MySQLdb

# sample data
table = 'TestTable'
header = ['ST', 'CODE', 'BC001', 'BC002', 'BC003']
values = [['AA', '1234567', 20, 30, 40], ['BB', '1234567', 20, 30, 40], ['CC', '1234567', 20, 30, 40],['DD', '1234567', 20, 30, 40]]


# local SQL server on my computer
db = MySQLdb.connect (host = 'localhost', user = 'root', passwd = '', db = 'test')
# prepare a cursor object using cursor() method
cursor = db.cursor()

# header columns
sql1 = '('
for i in range(len(header)):
    sql1 += header[i] + ','
sql1 = 'INSERT INTO ' + table + sql1[:-1] + ')'

# now loop through data values and combine with header each time
for i in range(len(values)):

    sql2 = ''
    for j in range(len(values[i])):
        sql2 += values[i][j] + ','        #error occurs here

    # structure: sql2 = """ VALUES ('AA', '1234567', 20, 30, 40)"""
    sql2 = 'VALUES ' + table + sql2[:-1] + ')'     
    sql = sql1 + sql2

    try:
       # Execute the SQL command
       cursor.execute(sql)
       # Commit your changes in the database
       db.commit()
    except:
       # Rollback in case there is any error
       db.rollback()

# disconnect from server
db.close()

我得到的错误信息是

TypeError: unsupported operand type(s) for +: 'int' and 'str'

我明白为什么会这样，但我想不出另一种生成字符串的方法。有没有更好的方法来生成这些字符串？

我在 Win7 64 位上使用 Python27。

Answer 1

MySQLdb 已经可以做到这一点，而无需您手动对变量进行类型转换。

你想这样做，因为 MySQLdb 会在某种程度上自动引用并保护你免受 SQL 注入攻击。这在任何实际环境中都非常重要，如果您打算从事任何专业的数据库工作，您应该习惯这一点。

使用 MySQLdb 游标对象，execute() 命令将自动正确格式化您的整数、字符串和其他变量，以便它们在您的INSERT 语句中工作。他们使用一种特殊的格式字符串来做到这一点。

c=db.cursor()
max_price = 5
min_price = 1
c.execute("""SELECT spam, eggs, sausage FROM breakfast
          WHERE price < %s AND price > %s""", (max_price, min_price))

注意两点：首先，所有变量，无论类型如何，都应该在这些特殊格式的字符串中表示为%s。这就是它的工作方式。其次，execute() 的第二个参数应该是一个元组，所以如果你只有一个变量要使用，你需要像(max_price,) 一样输入它。括号末尾的逗号告诉 python 它是一个元组。

Answer 2

其他帖子正确识别了错误，但没有回答您关于更好地进行字符串格式化的问题。

我不确定这是否完全符合您的要求，因为您的代码有点难以阅读。您最终会遇到如下查询：

INSERT INTO TestTable (ST,CODE,BC001,BC002,BC003) VALUES ('AA','1234567',20,30,40)

代码如下：

sql = (('INSERT INTO {0} ({1}) VALUES ({2})'.format(table, ','.join(header), 
                         ','.join(("'" + v + "'" if isinstance(v, str) 
                             else str(v)) for v in val))) for val in values)

然后你就这样做：

for q in sql:
    try:
        # Execute the SQL command
        cursor.execute(q)
        # Commit your changes in the database
        db.commit()
    except:
        # Rollback in case there is any error
        db.rollback()

它为字符串添加引号，并使用str.join 和str.format。

确实，您应该使用参数化查询，它将值放入字符串中，发送到数据库连接器或数据库本身。

Answer 3

您是否尝试过像str(values[i][j]) 一样将values[i][j] 简单地包装在str() 中？

看来你也可以这样做

sql2 = ','.join([str(x) for x in values[i]]) + ','

如果您想进一步简化它。 （不确定是否需要尾随逗号，但我包含它以匹配您的代码。）

例子：

>>> my_list = ['abc', 1, 2,3, 'do','re','mi']
>>> [str(x) for x in my_list]
['abc', '1', '2', '3', 'do', 're', 'mi']
>>> ','.join([str(x) for x in my_list])
'abc,1,2,3,do,re,mi'

另一方面，如果您需要在最终查询中将原本是字符串的对象用单引号括起来，就像您所做的那样，您可能需要做一些更复杂的事情，例如

sql2 = ''
for x in values[i]:
    if isinstance(x, basestring):
        sql2 += "'"+x+"',"
    else:
        sql2 += str(x) +","

Answer 4

该错误与 MySQLdb 完全无关。

您正在使用“+”运算符将字符串与整数合并。您的 values 数组包含混合的字符串和整数，并且您使用字符串追加运算符添加它们，这不能与混合的 str 和 int 一起使用（您正在执行类似 mystry = 1+',' 的操作）。

您的问题的解决方案可以是对数组中的项目使用 str()。喜欢：

sql2 += str(values[i][j]) + ','