在Python的psycopg2中将参数指定为execute()时,如下所示:
cursor.execute('SELECT * FROM %s', ("my_table", ))
我收到此错误:
psycopg2.ProgrammingError: syntax error at or near "'my_table'" LINE 1: SELECT * FROM 'my_table'
我究竟做错了什么?看起来psycopg2在查询中添加了单引号,而这些单引号导致了语法错误。
如果我不使用参数,它将正常工作:
cursor.execute('SELECT * FROM my_table')
我相信这样的参数化语句应与 值 一起使用,而不是与表名(或SQL关键字等)一起使用。因此,您基本上对此感到不走运。
但是,请不要担心,因为该机制旨在防止SQL注入,并且您通常在编写代码时就知道要访问哪个表,因此几乎没有人会注入恶意代码。只需继续并将表写入字符串即可。
如果出于某些(可能是不正确的)原因,您将表名保留为参数形式,例如:
例如:
cursor.execute( 'SELECT * FROM %s where %s = %s' % ("my_table", "colum_name", "%s"), #1 ("'some;perverse'string;--drop table foobar")) #2
#1:此时将第三个%s替换为另一个’%s’,以允许psycopg2进行后续处理 #2:这是将被psycopg2正确引用并放置在原始字符串中的字符串,而不是第三个’%s’
#1
#2
