我正在尝试使用 Python 查询 Redshift。
我正在生成一个查询字符串,如下所示:
我正在使用psycopg2 作为库来建立连接。
Select lat, lon, gender from table_x where x_name = "namestring"
如果我的姓名字符串包含',则查询字符串将无法执行。
有人能告诉我避免这个错误的方法吗?我有一个大约 25k 名称的列表,因此不能使用 \' 转义每个名称。
【问题讨论】:
''。
标签: python sql string python-3.x amazon-redshift
使用http://initd.org/psycopg/docs/sql.html 中强烈建议的参数化查询
# somethin along the lines of this should work:
from psycopg2 import sql
names = [ "A", "McDiff", "Old'McDonal"]
for n in names:
cur.execute(sql.SQL("Select lat, lon, gender from {} where x_name = %s")
.format(sql.Identifier('table_x')),[n])
这避免了在使用参数化查询构造而不是字符串连接时自引用的问题。
请参阅Little Bobby Tables / Exploit of a Mom 和 google sql injection 以了解不进行字符串连接的其他原因。
【讨论】:
sql.identifier 在连接的情况下如何工作?
您可以在字符串中使用单引号,并使用参数化字符串替换您的值。
QUERY = """select lat, lon, gender from table_x where x_name = '{namestring}'"""
for namestring in list_of_namestrings:
cur.execute(QUERY.format(namestring=namestring)
这应该可以解决您的目的,您可以根据需要使 QUERY 复杂,并使用 .format() 进行所需的替换
【讨论】: