python sql转义,关于sql:在WHERE-Clause中转义的Python / SQLite3

最新推荐文章于 2022-09-23 16:44:38 发布
最新推荐文章于 2022-09-23 16:44:38 发布
阅读量456 收藏
点赞数
文章标签: python sql转义

我应该如何在Python中为SQLite3进行真正的转义?

如果我用谷歌搜索(或搜索stackoverflow),会有很多问题,每次响应都是这样的:

dbcursor.execute("SELECT * FROM `foo` WHERE `bar` like ?", ["foobar"])

这有助于防止SQL注入,并且如果我只用" ="进行编译,就足够了,但它当然不会剥离通配符。

所以如果我这样做

cursor.execute(u"UPDATE `cookies` set `count`=? WHERE `nickname` ilike ?", (cookies, name))

一些用户可以提供"%"作为昵称,并用一行替换所有cookie条目。

我可以自己过滤它(嗯……我可能还是会忘记那些鲜为人知的通配符之一),我可以在昵称和昵称上使用小写字母,并用" ="替换" ilike",但是我真正想做的是 类似于以下内容:

foo = sqlescape(nick)+"%"

cursor.execute(u"UPDATE `cookies` set `count`=? WHERE `nickname` ilike ?", (cookies, foo))

为什么要使用LIKE进行除模糊搜索之外的任何操作?

您可以忽略搜索本身吗? 那不是我问的。 (或者更确切地说:我可以将其用于模糊搜索,不会稍微改变问题,对吗?)

?参数旨在避免SQL字符串(以及其他有问题的数据类型,如浮点数和blob)的格式问题。

LIKE / GLOB通配符在不同级别上起作用;它们始终是字符串本身的一部分。

SQL允许对它们进行转义,但是没有默认的转义字符。您必须使用ESCAPE子句进行选择:

escaped_foo = my_like_escape(foo,"\")

c.execute("UPDATE cookies SET count = ? WHERE nickname LIKE ? ESCAPE '\',

(cookies, escaped_foo))

(并且您必须为%和_(LIKE)或*和?(GLOB)编写自己的my_like_escape函数。)

好吧……这就是这样做的方法,虽然有很多帮助,但是却使每个用户都无法编写自己的转义功能。

所以我认为没有更好/好的解决方案:-/容易出错,并且每个人都可以自己工作。 几乎是我最坏的情况。

您已经避免使用参数化查询来进行彻底的代码注入。现在看来,您正在尝试与用户提供的数据进行模式匹配,但是您希望将用户提供的数据部分视为文字数据(因此不能使用通配符)。您有几种选择:

只需过滤输入。 SQLite的LIKE仅将%和_理解为通配符,因此很难弄错它。只要确保始终过滤输入即可。 (我的首选方法:在构造查询之前进行过滤,而不是在读取用户输入时进行过滤)。

通常,"白名单"方法被认为比删除特定的危险字符更安全,更容易。也就是说,不要从字符串(和您所说的任何"鲜为人知的通配符")中删除%和_,而是扫描字符串并仅保留所需的字符。例如,如果您的"昵称"可以包含ASCII字母,数字,"-"和"。",则可以按以下方式进行清理:

name = re.sub(r"[^A-Za-z\d.-]","", name)

该解决方案特定于您要匹配的粒子字段,并且对于关键字段和其他标识符非常有效。如果必须使用RLIKE进行搜索,我肯定会这样做,因为RLIKE接受完整的正则表达式,因此要注意的字符很多。

如果您不希望用户提供通配符,为什么无论如何仍要在查询中使用LIKE?如果查询的输入来自代码中的很多地方(或者甚至您正在编写一个库),那么如果可以完全避免使用LIKE,则可以使查询更安全:

这是不区分大小写的匹配:

SELECT * FROM ... WHERE name = 'someone' COLLATE NOCASE

在您的示例中,您使用前缀匹配(" sqlescape(nick)+"%"")。进行精确搜索的方法如下:

size = len(nick)

cursor.execute(u"UPDATE `cookies` set `count`=? WHERE substr(`nickname`, 1, ?) = ?",

(cookies, size, nick))

嗯,通常您只想用不以任何特殊方式解释"%"的普通" ="比较替换" ilike"。转义(有效地将不良模式列入黑名单)容易出错,例如即使您设法逃避了所使用的sqlLite版本中的所有已知模式,任何将来的升级都可能使您处于危险之中,等等。

我不清楚,为什么要基于用户名的模糊匹配来批量更新Cookie。

如果您真的想这样做,我的首选方法是先选择列表,然后决定在应用程序级别进行更新以保持最大程度的控制。

是的..因为那是我的问题的解决方案。 等等...不是!

使用字符串format -ing可以通过几种非常有趣的方法来实现。

从Python的文档中:

The built-in str and unicode classes provide the ability to do complex variable substitutions and value formatting via the str.format() method:

s ="string"

c ="Cool"

print"This is a {0}. {1}, huh?".format(s,c)

#=> This is a string. Cool, huh?

您可以使用字符串格式进行其他一些巧妙的技巧:

"First, thou shalt count to {0}".format(3) # References first positional argument

"Bring me a {}".format("shrubbery!")       # Implicitly references the first positional argument

"From {} to {}".format('Africa','Mercia')      # Same as"From {0} to {1}"

"My quest is {name}"                       # References keyword argument 'name'

"Weight in tons {0.weight}"                # 'weight' attribute of first positional arg

"Units destroyed: {players[0]}"            # First element of keyword argument 'players'.`

我知道如何格式化字符串...但是这对查找所有必须转义的内容(不仅是我能记住的那两件事)没有帮助-根本不是我要的...。

weixin_39677106
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python sql转义_在Pythonsqlite转义字符
weixin_29838739的博客
03-01 1176
Pythonsqlite转义字符我有一个python脚本读取原始电影文本文件到sqlite数据库。我使用re.escape(title)在执行插入操作之前将转义字符添加到string以使它们安全。为什么这不起作用:In [16]: c.execute("UPDATE movies SET rating = '8.7' WHERE name='\'Allo\ \'Allo\!\"\ \(19...
Python 小记:组织 SQL写入数据库特殊符号转义
分享既学习
06-07 476
最近写一个项目,需要将数据库的 Slow SQL 查到,然后拼接 SQL 语句插入到数据库,那 SQL 语句大家都知道,有很多特殊符号,拼接后插入数据库会报 SQL 语法错误,如何解决呢?使用上面的方法,escape_string(文本) 转义后,再插入数据库就不会报错了。
python sql转义_pymysql 插入数据 转义处理方式
weixin_39635567的博客
12-09 1077
最近用pymysql把一些质量不是很高的数据源导入mysql数据库的时候遇到一点问题,主要是遇到像 \ 这样的具有特殊意义的字符时比较难处理。这里有一个解决方案基本环境python3pymysqllinux问题描述插入(查询)数据时遇到一些特殊字符会使得程序断。操作失败。比如 \这样的转义字符解决方案插入(查询)之前用 connection.escape(str)处理一下即可代码示例import...
python 存在SQL语句的转义踩坑
weixin_44259638的博客
01-26 2358
sql语句如下 DELETE from sand_factory WHERE `name`='游飞3测试砂石场' 在python引号需要转义 del_sql = "DELETE from sand_factory WHERE `name`=\'游飞3测试砂石场\'" 执行后一致报错 2022-01-26 14:31:14,990 - phil-log-log.py-ERROR-29-(1064, “You have an error in your SQL syntax; check the manu
python在操作mysql数据库时,sql语句的字符转义问题可采用escape_string字符转义函数来解决
reg183的专栏
09-23 1792
遇到的问题及解决方法:遇到的问题:在使用python操作mysql数据库插入数据时,由于变量值也采用了多重引号,导致sql出现语法错误,而无法执行的问题解决方法:mysql数据库在插入数据时,可以使用escape_string()函数进行特殊字符的转义处理,同时也为了防止数据攻击。 要使用escape_string函数只需要加上from pymysql.converters import escape_string导入此函数即可。
python sql转义_pythonsqlalchemy – query.all() – 要转义的元组列表
weixin_39938331的博客
12-09 728
这是我的调用:session.query(User.username,User.first_name,User.last_name).all()它返回:[(‘myUsername’,’myFirstname’,’myLastname’)].我希望它是以下格式:[{“username”:“myUsername”,“first_name”:“myFirstname”,“last_name”:“myLa...
pythonsql语句使用%s,%d,%f说明
09-16
Python编程,当涉及到与SQL数据库交互时,我们经常需要构建动态的SQL查询语句。这通常涉及到在SQL字符串插入变量值。在Python,有几种不同的方法可以实现这一点,其包括使用`%s`, `%d`, 和 `%f`等占位符。...
Python-SnaqlRawQL在Python无痛使用原始SQL
08-10
Python的Snaql Raw QL库提供了一种优雅的方式来处理原始SQL查询,使得在Python程序与数据库交互变得更加简单和直观。这个库的目标是让开发者能够充分利用SQL的强大功能,同时避免了传统ORM(对象关系映射)可能...
解决python 执行sql语句时所传参数含有单引号的问题
09-16
Python编程,当我们需要执行SQL语句时,有时会遇到参数包含单引号(')的情况,这可能导致SQL语法错误。在描述的问题,作者在尝试插入数据到`teacher`表时遇到了编程错误,因为`t_info`字段的值`result2`...
Python MySQLdb 执行sql语句时的参数传递方式
09-08
Python,使用`%s`占位符和字典传参可以有效地防止SQL注入,因为这些方法会确保参数被适当地转义和格式化。在动态构建SQL语句时,避免直接拼接字符串,因为这可能导致安全隐患。 例如,如果使用pymysql库...
python sql转义,Python SQL DB字符串文字和转义
weixin_32141253的博客
12-09 194
Anyone know if the MySQLdb will automatically escape string literals for SQL statements?For instance I am trying to execute the following:cursor.execute("""SELECT * FROM `accounts` WHERE `account_name...
Python - SQL Server的sql语句的通配符%转义
weixin_41708323的博客
07-15 1585
python使用SQL Server查询sql语句带有%会提示缺少参数,解决办法使用两个%可以对%进行转义%%,转义之后只有一个%,可以正常使用。问题python在连接使用sql查询的时候,通配符%不能正常被识别。运行之后会提示缺少参数。...
python sql语句特殊符号转义
元亮学长的博客哟
04-24 5873
python 进行数据库插入的时候,有时候个别字段碰到特殊符号的话会提示插入失败。但是我们可以用re.escape()对字段进行转义 示例: re.escape('www.python.org') 'www\\.python\\.org' ...
Python sqlite转义,解决报错:OperationalError: unrecognized token
小龙在线
02-11 3257
转义Python使用sqlite3模块新增数据时,一般需要把引号转义,避免SQL报语法错误。sqlite3使用?自动转义。 举个例子,表结构如下: CREATE TABLE "article" ( "id" INTEGER NOT NULL, "title" TEXT, PRIMARY KEY ("id") ); 入库操作: import sqlite3 con = sqlite3.connect('D:/python3_test/test.db3') cur = con.cursor()
pymssql处理‘\’转义
Jason_WangYing的博客
07-11 730
最近在使用mysql时经常要拼写sql语句,服务经常报错,下面是报错内容 File "/Applications/PyCharm.app/Contents/plugins/python/helpers/pydev/pydevd.py", line 1434, in _exec pydev_imports.execfile(file, globals, locals) # execute the script File "/Applications/PyCharm.app/Content
一个超方便使用SQLPython神器
sixqingfeng的博客
07-28 416
举个栗子,如果我们有这样一张测试表`id`int(11)NOTNULLAUTO_INCREMENTCOMMENT'唯一id',`name`varchar(255)NOTNULLDEFAULT''COMMENT'名称',`attr`JSONNOTNULLCOMMENT'属性',`ct`timestampNOTNULLDEFAULTCURRENT_TIMESTAMPCOMMENT'创建时间',在ORM框架,映射的结果就是下文这个Python类。...
python sql转义_Python:获取转义SQL字符串
weixin_39847437的博客
12-09 679
When I have a cursor, I know I can safely execute a query as follows:cur.execute("SELECT * FROM foo WHERE foo.bar = %s", (important_variable,))Is there any way to just get the string safely without ex...
python使用pymysql或者MySQLdb,数据内包含 \ 转义符或者其他特殊转义字符时解决方案
热门推荐
loujun2016的博客
09-03 1万+
需求: 将爬虫获取的HTML页面源码原样保存到mysql数据库,前段需要调用HTML页面原样展示 问题: HTML代码有很多反斜杠 \ 符号,导致pymysql或者MySQLdb报错。 不能使用replace将报错字符替换。 解决方法:使用pymysql或者mysqlDb 提供的内置方法scape_string()   例如: row_html="\img\test.jpg" 里面包含...
python转义字符实现“E:\t-2\nPython\rPython\f”输出。
最新发布
03-11
Python,可以使用转义字符来表示一些特殊的字符或者字符序列。要实现输出字符串"E:\t-2\nPython\rPython\f",可以使用以下转义字符: 1. \t:表示水平制表符,将在字符串插入一个制表符。 2. \n:表示换行符...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值