как безопасно сгенерировать оператор SQL LIKE с помощью Python DB-API - PullRequest
Новая
       9

как безопасно сгенерировать оператор SQL LIKE с помощью Python DB-API

14 голосов
/ 20 января 2010

Я пытаюсь собрать следующую инструкцию SQL, используя db-api Python: 

SELECT x FROM myTable WHERE x LIKE 'BEGINNING_OF_STRING%';

где BEGINNING_OF_STRING должен быть переменной Python, которую можно безопасно заполнить через DB-API. Я пытался 

beginningOfString = 'abc'

cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%', beginningOfString) 
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%%', beginningOfString)

У меня нет идей; Как правильно это сделать?

Ответы [ 3 ]

21 голосов
/ 20 января 2010

Лучше всего отделить параметры от sql, если можете.Затем вы можете позволить модулю db позаботиться о правильном цитировании параметров. 

sql='SELECT x FROM myTable WHERE x LIKE %s'
args=[beginningOfString+'%']
cursor.execute(sql,args)
2 голосов
/ 20 января 2010

РЕДАКТИРОВАТЬ:

Как отметили Брайан и Томас, далеко лучший способ сделать это будет использовать: 

beginningOfString += '%'
cursor.execute("SELECT x FROM myTable WHERE x LIKE ?", (beginningOfString,) )

поскольку первый метод оставляет вас открытыми для атак с использованием SQL-инъекций.

Оставлено для истории:

Попробуйте: 

cursor.execute("SELECT x FROM myTable WHERE x LIKE '%s%%'" % beginningOfString)
0 голосов
/ 20 января 2010

Обратите внимание на Sqlite3 документацию:

Обычно ваши операции SQL потребуются использовать значения из переменных Python. Вы не должны собирать свой запрос используя строковые операции Python потому что это небезопасно; это делает ваша программа уязвима для SQL инъекционная атака.

Вместо этого используйте параметр DB-API замена. Положил ? в качестве заполнителя везде, где вы хотите использовать значение, и затем предоставить набор значений в качестве Второй аргумент для курсора метод execute (). (Другая база данных модули могут использовать разные заполнитель, такой как% s или: 1.) Для Пример: 

# Never do this -- insecure!
symbol = 'IBM'
c.execute("... where symbol = '%s'" % symbol)

# Do this instead
t = (symbol,)
c.execute('select * from stocks where symbol=?', t)

# Larger example
for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00),
          ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00),
          ('2006-04-06', 'SELL', 'IBM', 500, 53.00),
         ]:
    c.execute('insert into stocks values (?,?,?,?,?)', t)

Я думаю, вы хотите это: 

cursor.execute('SELECT x FROM myTable WHERE x LIKE '%?%', (beginningOfString,) )
...