将重复参数传递给 sqlite 查询的一种优雅方式[重复]

Question

从我的Python 代码（实际上是Flask 应用程序），我需要执行sqlite 查询，结构如下

SELECT some_column FROM My_table WHERE some_column=some_value;

现在，some_column 在查询中重复出现两次，执行它的一种方法是：

cursor.execute('SELECT ? FROM Users WHERE ?=?;', (some_column, some_column, some_value))

这不是很好/Pythonic。然后我想出了：

cursor.execute('SELECT {0} FROM Users WHERE {0}=?;'.format(some_column), (some_value,))

最后，我一直使用.format()：

cursor.execute('SELECT {0} FROM Users WHERE {0}={1};'.format(some_column, some_value), ())

---

我想知道是否有更漂亮和/或更 Pythonic 的方式将重复参数传递到 sqlite 的cursor.execute()？

Answer 1

这不是一个很大的改进，但是由于您标记了 Python 3，请考虑f-string：

f"SELECT {col} FROM Users WHERE {col}={val}"

正如 Klaus D. 在评论中指出的那样，允许值是格式字符串并不是最佳实践，因为在某些情况下，这会使您的代码容易受到 SQL 注入的攻击。

它不那么紧凑，但您可以使用 f-string 的 a mix（用于列名）和 sqlite ? 语法来输入值（基本上是前两个示例的混搭）：

params = (val,)
q = f"SELECT {col} FROM Users WHERE {col} = ?"
cursor.execute(q, params)

Answer 2

第一个语法不正确。在 SQL 中，参数化查询可以使用参数作为值，而不是表名或列名。

第三种形式不好，因为它硬编码查询中的值，这是最佳实践所禁止的。它曾经很常见，并且是 SQL 注入安全问题的原因。

所以唯一的可能是第二种形式：对表名和列名使用字符串构造，对值使用参数。

但无论如何，您的查询几乎是无意义的：当您修复该列值时，您会询问该列的值。对于每个选定的行，值将是 some_value！

因此，我假设这是一个更复杂问题的简化示例，但如果没有更多上下文，我根本无法想象您为什么要问这个问题以及您的真正问题是什么。