【python】SQLite学习笔记04:占位符?的陷阱

最新推荐文章于 2023-09-11 12:07:32 发布
最新推荐文章于 2023-09-11 12:07:32 发布
阅读量2.7k 收藏 4
点赞数 2
分类专栏: SQLite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43894266/article/details/92792899
版权

在Python说明文档中推荐使用? 占位符(placeholder)来代替字符串操作,原文如下:

通常你的 SQL 操作需要使用一些 Python 变量的值。你不应该使用 Python 的字符串操作来创建你的查询语句,因为那样做不安全;它会使你的程序容易受到 SQL 注入攻击。
推荐另外一种方法:使用 DB-API 的参数替换。在你的 SQL 语句中,使用 ? 占位符来代替值,然后把对应的值组成的元组做为 execute() 方法的第二个参数。

除了注意使用元组传递参数外,笔者还遇到了另外一个陷阱。
程序如下

import sqlite3
seeds=sqlite3.connect(r'C:\Users\VC\OneDrive\python2019\DM\mine.db') 
fptree=seeds.cursor()
yellowleaf='ZAJB1040'
support='freq'
freq_x=fptree.execute('''SELECT ? FROM btree WHERE doc_code=?''',(support,),(yellowleaf,)).fetchone()
print(freq_x[0])

运行之后报错如下:

Traceback (most recent call last):
  File "c:/Users/VC/OneDrive/python2019/DM/test.py", line 7, in <module>
    freq_x=fptree.execute('''SELECT ? FROM btree WHERE doc_code=?''',(support,),(yellowleaf,)).fetchone()
TypeError: function takes at most 2 arguments (3 given)

TypeError: function takes at most 2 arguments (3 given)的错误在stack overflow等社区也常有人问及,看来入坑的不在少数,但解答很少在点子上。
经过研究,原来?占位符只能代替普通值,不能用来代替列名或者表名。即第二个?占位符是合法的,而第一个?占位符则是问题所在。

狮弟
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
sqlite3 带占位符插入数据
学习笔记
03-19 6976
//用问号形式插入数据 -(void) insertRecord:(NSString *)table                   withValue1:(NSString*) value1                   withValue2:(NSString*) value2                   withValue3:(NSString*) value3
python sql语句占位符_Python sqlite3占位符
weixin_42105816的博客
12-23 390
is there a way to set the placeholder for queries in sqlite3 ?I have some functions that work with a database and it would be more satisfying if they could work both with mysql and sqlite.Mysql and Po...
python中用来占位的语句是_python – 使用’?’ sqlite3语句中的占位符
weixin_39966053的博客
11-26 300
所以出于某种原因,我在select语句中使用占位符时遇到错误.def get_id(table_name, id_name):db = sqlite3.connect('test_db')max_id = db.execute('''SELECT max(?) FROM ?''', (id_name, table_name)).fetchone()[0]if not max_id:primary_...
C# Sqlite 占位符模糊查询
Roy·Leo的专栏
07-13 1837
1. sql + " where PINYIN_INDEX like '%'|| @PinYin ||'%';";
图书管理系统设计——执行带参数的sql语句占位符使用、怎样进行时间相加减、以及错误记录(pythonsqlite
qq_64011418的博客
06-07 780
sqlite3.OperationalError: misuse of aggregate、sqlite3.ProgrammingError: Incorrect number of bindings supplied、sqlite3.OperationalError: misuse of aggregate、TypeError: unsupported operand type(s) for -: 'datetime.datetime' and 'str'、带参数的SQL语句、字符串转换为时间和时间加减
Python 进阶(五):数据库操作之 SQLite
12-14
Python中的SQLite是一个轻量级的关系型数据库,它无需单独的服务器进程,而是作为一个库直接集成在应用程序中。SQLite因其小巧高效、易于使用而被广泛应用于各种小型项目和开发环境中。Python从2.5.x版本开始内置了...
python-sqlite-crud:使用PythonSQLite3的CRUD
02-21
PythonSQLite3 是一个强大的组合,特别适合进行轻量级的数据存储和管理。..."python-sqlite-crud" 项目是学习和实践这一概念的好资源。通过实际操作,你可以更好地掌握数据库操作,并将其应用到自己的项目中。
Python sqlite3事务处理方法实例分析
01-21
本文实例讲述了Python sqlite3事务处理方法。分享给大家供大家参考,具体如下: sqlite3事务总结: 在connect()中不传入 isolation_level 事务处理: 使用connection.commit() #!/usr/bin/env python # -*- coding:...
Python操作sqlite3
退隐江湖好多年
01-21 1624
最近用到了Python,比较基础的东西,记录一下! 主要内容: Python中连接sqlite3 Python中Select、insert、update、delete的用法 关于占位符以及字符串的用法
python占位符 mysql_python mysql中名的占位符
weixin_28882177的博客
02-03 862
我正在使用python sql编辑一个名为students(其列为name和age,如下所示:('Rachel', 22)('Linckle', 33)('Bob', 45)('Amanda', 25)('Jacob', 85)('Avi', 65)('Michelle', 45)我正在定义python函数来执行SQL代码。在我的第一个函数中,我想更新年龄价值观学生在哪里名称与某物(例如Bob)...
为什么sqlite3里用"?"作占位符就能防止sql注入
玉双龙
07-27 2621
Python sqlite3操作数据库的时候cur.execute(‘insert into t values (%d)’% num) 会被sql注入,但把占位符该成"?“就不会了。 那问题来了,”?"到底做了什么才防止了sql注入呢? "?"会把参数当做值来处理,不管参数是什么,都把它插入就完事。 而直接的字符串拼接是把参数当做SQL语句的一部分,参数中有SQL语句的话,是有可能被执行的。 参...
十、SQLite数据库增删改查操作
weixin_34268610的博客
05-26 634
一、使用嵌入式关系型SQLite数据库存储数据 在Android平台上,集成了一个嵌入式关系型数据库——SQLiteSQLite3支持NULL、INTEGER、REAL(浮点数字)、TEXT(字符串文本)和BLOB(二进制对象)数据类型,虽然它支持的类型只有五种,但实际上sqlite3也接受varchar(n)、char(n)、decimal(p,s) 等数据类型,只不过在运算或保存时会转成对...
sqlite名传参问题
L13682726202的博客
05-08 3234
我们在使用sqlite创建的时候会发现,名是固定的,不允许传参。我曾经翻阅过sqlite的官方文档,sqlite明确指出不支持动态名创建,也就是不支持名传参。 虽然如此,但是由于我们使用sqlite经常是与编程语言同时使用的,例如Java、python。基于编程语言的字符串连接特性,我们也就有了实现名传参的可能。 下面介绍实现名传参的方法: 我使用的编程语言为python,与python有相同字符串连接特性的都可以使用此方法,例如Java table_name = 'WORD_INFORMAT
SQLite-Python学习
njafei的博客
04-28 923
title: SQLite-Python学习 date: 2017-04-28 11:05:29 tags: - sqlite - pythoncategories: 数据库 注: 本文默认有基本的数据库和SQLite知识 最近在做SQLite数据库相关的自动化任务,所以学习了下phthon中如何使用SQLite,网上的教程如:runoob、 docs.python
sqlite3数据库使用
最新发布
weixin_52782608的博客
09-11 281
如果这个数据库存在,就连接这个数据库,如果这个数据库不存在,就直接新建一个数据库,".db"是sqlite3数据库的文件格式。connect.commit() -- 数据保存,如果没有添加这行代码数据就添加不成功。序号=“3” -- 用来数据定位,告诉计算机,修改的数据在序号为“3”的位置。) -- 占位符,需要与对应格中的列数对应,过多过少都会报错。姓名="王武" -- 这是需要的数据,roster中的“王午”修改“王武”序号、姓名、性别--为格中的列名称。TEXT--为数据在格中的存储格式。
sqlite语法与函数收集
zhjp4295216的专栏
03-25 1018
SQLite支持如下的二元运算符,按优先级由高至低排列:||*  /  %+  ->  &  |  >==  ==  !=  AND  OR所支持的一元运算符:-  +  !  ~注意等号和“不等”号的两个变种。等号可以是 =或==. “不等”号可以是!=或二元运算符的结果均为数字,除了||连接符,它给出字符串结果。文本值(literal value)是一个整数或浮点数。可以使用科学计数法。"
PythonSQLite数据库编程:功能与应用
第14章主要探讨了Python中的数据库编程,特别是SQLite这一轻量级的关系型数据库管理系统。SQLite被内置在Python的标准库sqlite3中,无需额外安装,适用于小型项目和嵌入式应用,因为它支持SQL91标准,但不包括复杂的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

狮弟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值