Проблема подстановки параметров SQLite

Question

Используя SQLite3 с Python 2.5, я пытаюсь перебрать список и получить вес элемента из базы данных на основе имени элемента.

Я пытался использовать "?" Подстановка параметров предложена для предотвращения SQL-инъекций, но это не работает. Например, когда я использую:

for item in self.inventory_names:
    self.cursor.execute("SELECT weight FROM Equipment WHERE name = ?", item)
    self.cursor.close()

Я получаю ошибку:

sqlite3.ProgrammingError: указано неверное количество привязок. В текущем операторе используется 1, а поставлено 8.

Я полагаю, это как-то вызвано первоначальным созданием базы данных; модуль, который я создал для создания БД, имеет 8 привязок.

cursor.execute("""CREATE TABLE Equipment 
    (id INTEGER PRIMARY KEY, 
    name TEXT,
    price INTEGER, 
    weight REAL, 
    info TEXT, 
    ammo_cap INTEGER, 
    availability_west TEXT,
    availability_east TEXT)""")

Однако, когда я использую менее безопасную подстановку «% s» для каждого имени элемента, она работает просто отлично. Вот так:

for item in self.inventory_names:
    self.cursor.execute("SELECT weight FROM Equipment WHERE name = '%s'" % item)
    self.cursor.close()

Я не могу понять, почему он думает, что у меня есть 8 биндинов, когда я звоню только один. Как я могу это исправить?

Answer 1

Метод Cursor.execute() ожидает последовательность в качестве второго параметра. Вы вводите строку длиной 8 символов.

Используйте вместо этого следующую форму:

self.cursor.execute("SELECT weight FROM Equipment WHERE name = ?", [item])

Ссылка на библиотеку Python: sqlite3 Объекты курсора .

Answer 2

Я потратил полдня, пытаясь выяснить, почему что-то подобное может вызвать ошибку:

cursor.execute("SELECT * from ? WHERE name = ?", (table_name, name))

только для того, чтобы выяснить, что имена таблиц не могут быть параметризованы . Надеюсь, это поможет другим людям сэкономить время.

Answer 3

Аргумент cursor.execute, представляющий значения, которые необходимо вставить в базу данных, должен быть кортежем (последовательностью). Однако рассмотрим этот пример и посмотрим, что происходит:

>>> ('jason')
'jason'

>>> ('jason',)
('jason',)

В первом примере вместо этого используется строка; поэтому правильный способ представления однозначного кортежа такой же, как и во второй оценке. Во всяком случае, код ниже, чтобы исправить вашу ошибку.

self.cursor.execute("SELECT weight FROM Equipment WHERE name = ?", (item,))

Также предоставление аргументов значения cursor.execute в виде строк (что и делается) приводит к первой оценке в примере и к получаемой вами ошибке.

Answer 4

Вы пробовали это? :

for item in self.inventory_names:
    t = (item,)
    self.cursor.execute("SELECT weight FROM Equipment WHERE name = ?", t)
    self.cursor.close()

cursor.execute () ожидает последовательность (список, кортеж) в качестве второго параметра. (-> ddaa)

Answer 5

Цитируя (это то, что означают парены?)? с паренс, кажется, работает для меня. Я продолжал пытаться с (буквально) '?' но я продолжал получать

ProgrammingError: указано неверное количество привязок. В текущем операторе используется 0, а есть 1.

Когда я это сделал:

ВЫБРАТЬ ФАКТ ИЗ ФАКТУИДОВ, ГДЕ НАХОДИТСЯ КЛЮЧ (?)

вместо:

ВЫБРАТЬ факт из фактоидов, ГДЕ ключ НРАВИТСЯ '?'

Это сработало.

Это что-то вроде Python 2.6?

Answer 6

Модуль sqlite3 поддерживает два вида заполнителей для параметров:

стиль qmark

Используйте один или несколько ?, чтобы отметить положение каждого параметра и предоставить список или кортеж параметров. E.g.:

curs.execute("SELECT weight FROM Equipment WHERE name = ? AND price = ?",
             ['lead', 24])

именованный стиль

Используйте :par заполнители для каждого именованного параметра и укажите dict. E.g.:

curs.execute("SELECT weight FROM Equipment WHERE name = :name AND price = :price",
             {name: 'lead', price: 24})

Преимущества именованных параметров стиля в том, что вам не нужно беспокоиться о порядке параметров, и каждый :par может использоваться несколько раз в больших / сложных запросах SQL.

Answer 7

каждый элемент предметов должен быть кортежем. при условии, что имена выглядят примерно так:

names = ['Joe', 'Bob', 'Mary']

Вы должны сделать следующее:

for item in self.inventory_names:
self.cursor.execute("SELECT weight FROM Equipment WHERE name = ?", (item, ))

используя (item,) вы делаете его кортежем вместо строки.

Answer 8

Попробуйте

execute("select fact from factoids where key like ?", "%%s%" % val)

Вы вообще ничего не заключаете в ?, Python sqlite правильно конвертирует его в цитируемую сущность.