Escaping MySQL reserved words with Python dbapi(使用Pythondbapi转义MySQL保留字)
本文介绍了使用Pythondbapi转义MySQL保留字的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我正在为MySQL中的保留字问题寻找一个很好的"蟒蛇"和"无SQL注入"的解决方案。
我有以下代码:
alter_sql = 'ALTER TABLE %s ADD COLUMN %s TEXT'
cursor.execute(alter_sql, sql_params)
当列名类似于‘index’、‘int’、‘Limit’时就会出现此问题...
在MySQL外壳中,我可以执行以下操作:
ALTER TABLE test ADD COLUMN test.limit;
或
ALTER TABLE test ADD COLUMN `limit`;
但不是
ALTER TABLE test ADD COLUMN 'test.limit';
如何使用Python和MySQLdb实现这一点?
推荐答案
也许这会起作用:
alter_sql = 'ALTER TABLE `%s` ADD COLUMN `%s` TEXT'
UPDATE:这似乎不起作用,因为这种方式的绑定参数将添加单引号,因为MySQLdb假定这是一个字符串文字。
或者,您可以在列名之前追加表名?
table_name = MySQLdb.escape_string(table_name)
escaped_column_name = MySQLdb.escape_string(column_name)
column_name = '`%s`.`%s`' % (table_name, escaped_column_name)
alter_sql = 'ALTER TABLE %s ADD COLUMN %s TEXT' % (table_name, column_name)
这样,您必须手动转义它们,以避免绑定它们并在其两边添加单引号。
这篇关于使用Pythondbapi转义MySQL保留字的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持编程学习网!
织梦狗教程
本文标题为:使用Pythondbapi转义MySQL保留字
基础教程推荐
猜你喜欢
- oracle区分大小写的原因? 2021-01-01
- 什么是 orradiag_<user>文件夹? 2022-01-01
- 二进制文件到 SQL 数据库 Apache Camel 2021-01-01
- 如何在 SQL 中将 Float 转换为 Varchar 2021-01-01
- 如何根据该 XML 中的值更新 SQL 中的 XML 2021-01-01
- 表 './mysql/proc' 被标记为崩溃,应该修复 2022-01-01
- mysql选择动态行值作为列名,另一列作为值 2021-01-01
- 在 MySQL 中:如何将表名作为存储过程和/或函数参数传递? 2021-01-01
- MySQL 中的类型:BigInt(20) 与 Int(20) 2021-01-01
- 在多列上分布任意行 2021-01-01
