【python】SQLite学习笔记04:占位符?的陷阱

最新推荐文章于 2023-06-07 20:33:44 发布
最新推荐文章于 2023-06-07 20:33:44 发布
阅读量2.7k 收藏 4
点赞数 2
分类专栏: SQLite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43894266/article/details/92792899
版权

在Python说明文档中推荐使用? 占位符(placeholder)来代替字符串操作,原文如下:

通常你的 SQL 操作需要使用一些 Python 变量的值。你不应该使用 Python 的字符串操作来创建你的查询语句,因为那样做不安全;它会使你的程序容易受到 SQL 注入攻击。
推荐另外一种方法:使用 DB-API 的参数替换。在你的 SQL 语句中,使用 ? 占位符来代替值,然后把对应的值组成的元组做为 execute() 方法的第二个参数。

除了注意使用元组传递参数外,笔者还遇到了另外一个陷阱。
程序如下

import sqlite3
seeds=sqlite3.connect(r'C:\Users\VC\OneDrive\python2019\DM\mine.db') 
fptree=seeds.cursor()
yellowleaf='ZAJB1040'
support='freq'
freq_x=fptree.execute('''SELECT ? FROM btree WHERE doc_code=?''',(support,),(yellowleaf,)).fetchone()
print(freq_x[0])

运行之后报错如下:

Traceback (most recent call last):
  File "c:/Users/VC/OneDrive/python2019/DM/test.py", line 7, in <module>
    freq_x=fptree.execute('''SELECT ? FROM btree WHERE doc_code=?''',(support,),(yellowleaf,)).fetchone()
TypeError: function takes at most 2 arguments (3 given)

TypeError: function takes at most 2 arguments (3 given)的错误在stack overflow等社区也常有人问及,看来入坑的不在少数,但解答很少在点子上。
经过研究,原来?占位符只能代替普通值,不能用来代替列名或者表名。即第二个?占位符是合法的,而第一个?占位符则是问题所在。

狮弟
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
python sql语句占位符_Python sqlite3占位符
weixin_42105816的博客
12-23 390
is there a way to set the placeholder for queries in sqlite3 ?I have some functions that work with a database and it would be more satisfying if they could work both with mysql and sqlite.Mysql and Po...
python中用来占位的语句是_python – 使用’?’ sqlite3语句中的占位符
weixin_39966053的博客
11-26 300
所以出于某种原因,我在select语句中使用占位符时遇到错误.def get_id(table_name, id_name):db = sqlite3.connect('test_db')max_id = db.execute('''SELECT max(?) FROM ?''', (id_name, table_name)).fetchone()[0]if not max_id:primary_...
C# Sqlite 占位符模糊查询
Roy·Leo的专栏
07-13 1837
1. sql + " where PINYIN_INDEX like '%'|| @PinYin ||'%';";
图书管理系统设计——执行带参数的sql语句占位符使用、怎样进行时间相加减、以及错误记录(pythonsqlite
最新发布
qq_64011418的博客
06-07 780
sqlite3.OperationalError: misuse of aggregate、sqlite3.ProgrammingError: Incorrect number of bindings supplied、sqlite3.OperationalError: misuse of aggregate、TypeError: unsupported operand type(s) for -: 'datetime.datetime' and 'str'、带参数的SQL语句、字符串转换为时间和时间加减
Python 进阶(五):数据库操作之 SQLite
12-14
Python中的SQLite是一个轻量级的关系型数据库,它无需单独的服务器进程,而是作为一个库直接集成在应用程序中。SQLite因其小巧高效、易于使用而被广泛应用于各种小型项目和开发环境中。Python从2.5.x版本开始内置了...
python-sqlite-crud:使用PythonSQLite3的CRUD
02-21
PythonSQLite3 是一个强大的组合,特别适合进行轻量级的数据存储和管理。..."python-sqlite-crud" 项目是学习和实践这一概念的好资源。通过实际操作,你可以更好地掌握数据库操作,并将其应用到自己的项目中。
Python sqlite3事务处理方法实例分析
01-21
本文实例讲述了Python sqlite3事务处理方法。分享给大家供大家参考,具体如下: sqlite3事务总结: 在connect()中不传入 isolation_level 事务处理: 使用connection.commit() #!/usr/bin/env python # -*- coding:...
Python学习笔记.docx
12-06
Python学习笔记Python编程语言的学习过程中,掌握基础语法、数据结构、控制流程以及面向对象编程是至关重要的。下面我们将详细探讨这些方面,以便更好地理解Python的外卖订餐系统实现。 1. **Python基础** ...
sqlite-vtfunc:使用Python实现SQLite值函数
01-28
用于在SQLite中创建Python绑定。 一个值函数: 接受任意数量的参数 可以用于放置普通或子查询的地方,例如FROM子句或IN达式的右侧。 可以返回由一列或多列组成的任意数量的行。 以下是一些您可以使用...
sqlite-utils:用于操纵SQLite数据库的Python CLI实用程序和库
02-04
Python CLI实用程序和库,用于处理SQLite数据库。 一些功能亮点 (或 )直接传递到新SQLite数据库文件中,并使用适当的模式自动创建 针对数据库,并针对它们运行搜索查询(按相关性排序) 运行 以进行SQLite ...
python超实用技能:使用Python开发SQLite代理服务器的方法
12-20
标题中的“Python超实用技能:使用Python开发SQLite代理服务器的方法”指的是使用Python编程语言来创建一个SQLite数据库的代理服务,从而解决SQLite数据库无法远程访问的问题。这个代理服务器充当了一个中间层,使得...
live-corona-data-vaccine-page:占位符说明
03-08
从描述 "占位符说明" 来看,这可能是一个正在开发或者维护中的项目,其中可能包含了一些暂时性的占位符,用于指示未来的功能或数据展示位置。 Python 是一种广泛用于数据分析、Web 开发和自动化任务的编程语言,...
sqlite3 带占位符插入数据
学习笔记
03-19 6976
//用问号形式插入数据 -(void) insertRecord:(NSString *)table                   withValue1:(NSString*) value1                   withValue2:(NSString*) value2                   withValue3:(NSString*) value3
Python操作sqlite3
退隐江湖好多年
01-21 1624
最近用到了Python,比较基础的东西,记录一下! 主要内容: Python中连接sqlite3 Python中Select、insert、update、delete的用法 关于占位符以及字符串的用法
python占位符 mysql_python mysql中名的占位符
weixin_28882177的博客
02-03 862
我正在使用python sql编辑一个名为students(其列为name和age,如下所示:('Rachel', 22)('Linckle', 33)('Bob', 45)('Amanda', 25)('Jacob', 85)('Avi', 65)('Michelle', 45)我正在定义python函数来执行SQL代码。在我的第一个函数中,我想更新年龄价值观学生在哪里名称与某物(例如Bob)...
为什么sqlite3里用"?"作占位符就能防止sql注入
玉双龙
07-27 2621
Python sqlite3操作数据库的时候cur.execute(‘insert into t values (%d)’% num) 会被sql注入,但把占位符该成"?“就不会了。 那问题来了,”?"到底做了什么才防止了sql注入呢? "?"会把参数当做值来处理,不管参数是什么,都把它插入就完事。 而直接的字符串拼接是把参数当做SQL语句的一部分,参数中有SQL语句的话,是有可能被执行的。 参...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

狮弟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值