使用Pythondbapi转义MySQL保留字

沃梦达教程数据库问题

2022-01-01 6

Escaping MySQL reserved words with Python dbapi(使用Pythondbapi转义MySQL保留字)

本文介绍了使用Pythondbapi转义MySQL保留字的处理方法，对大家解决问题具有一定的参考价值，需要的朋友们下面随着小编来一起学习吧！

问题描述

我正在为MySQL中的保留字问题寻找一个很好的"蟒蛇"和"无SQL注入"的解决方案。

我有以下代码：

alter_sql = 'ALTER TABLE %s ADD COLUMN %s TEXT'      
cursor.execute(alter_sql, sql_params)

当列名类似于‘index’、‘int’、‘Limit’时就会出现此问题...

在MySQL外壳中，我可以执行以下操作：

ALTER TABLE test ADD COLUMN test.limit;

或

ALTER TABLE test ADD COLUMN `limit`;

但不是

ALTER TABLE test ADD COLUMN 'test.limit';

如何使用Python和MySQLdb实现这一点？

推荐答案

也许这会起作用：

alter_sql = 'ALTER TABLE `%s` ADD COLUMN `%s` TEXT'

UPDATE：这似乎不起作用，因为这种方式的绑定参数将添加单引号，因为MySQLdb假定这是一个字符串文字。

或者，您可以在列名之前追加表名？

table_name = MySQLdb.escape_string(table_name)
escaped_column_name = MySQLdb.escape_string(column_name)
column_name = '`%s`.`%s`' % (table_name, escaped_column_name)

alter_sql = 'ALTER TABLE %s ADD COLUMN %s TEXT' % (table_name, column_name)

这样，您必须手动转义它们，以避免绑定它们并在其两边添加单引号。

这篇关于使用Pythondbapi转义MySQL保留字的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持编程学习网！

沃梦达教程

本文标题为：使用Pythondbapi转义MySQL保留字

上一篇：我无法将MySQLdb导入到我的Python程序中

下一篇：铁锈动态特性变量与不同的通用类型新？

基础教程推荐

学习HTML

学习jQuery

学习Laravel

学习CSS3

学习Vue.js

学习Bootstrap5

学习ThinkPHP

学习AJAX