通过 SQLAlchemy 使用 Postgresql 执行多个语句不会持久化更改

Question

这不起作用——更新无效：

command = "select content from blog where slug = 'meow'; update account_balance set balance=200 where id=1; select 1 from blog;"
content = db.engine.scalar(command)

切换语句执行更新并成功选择：

command = "update account_balance set balance=200 where id=1; select content from blog where slug = 'meow';"
content = db.engine.scalar(command)

为什么第一个不起作用？它在 Pgadmin 中工作。我使用 Flask-Sqlalchemy 启用了自动提交。

我正在做一个关于SQL注入的研讨会，所以请不要重写解决方案！

Answer 1

SQLAlchemy 的自动提交的工作方式是检查发出的语句，尝试detect whether or not data is modified:

...，SQLAlchemy 实现了自己的“自动提交”功能，该功能在所有后端完全一致。这是通过检测表示数据更改操作的语句（即 INSERT、UPDATE、DELETE）以及数据定义语言 (DDL) 语句（如 CREATE TABLE、ALTER TABLE）来实现的，然后如果没有事务正在进行，则自动发出 COMMIT .检测基于语句上是否存在autocommit=True 执行选项。如果语句是纯文本语句并且未设置标志，则使用正则表达式来检测特定后端的 INSERT、UPDATE、DELETE 以及各种其他命令

由于multiple result sets are not supported 在 SQLAlchemy 级别，在您的第一个示例中，检测只是省略了发出 COMMIT，因为 first 语句是一个 SELECT，而在您的第二个示例中它是一个 UPDATE。不会尝试从多个语句中检测数据修改语句。

如果您查看PGExecutionContext.should_autocommit_text()，您会发现它对AUTOCOMMIT_REGEXP 执行了regex match。换句话说，它只匹配文本的开头。

Answer 2

如果要使用SELECT INTO创建表：

如上所述，engine.execute('select * into a from b') 不起作用。相反，您可以执行以下操作：

conn = engine.raw_connection()
cursor = conn.cursor()

cursor.execute('select * into a from b')
conn.commit() 

Answer 3

如果您想执行所有操作并只获取第一行，您应该使用db.engine.execute(...).first()。