【问题标题】:escaping column name as query parameter将列名转义为查询参数
【发布时间】:2017-11-03 08:05:06
【问题描述】:

我正在重做一个查询以防止 SQL 注入,但不知道如何转义列名。

此代码不起作用(示例 1):

cursor.execute(
"UPDATE ttt SET status = 'Good' FROM table ttt WHERE %s = %s';",
('param1', 'param2',))

sql_server_connection.commit()

这将起作用(示例 2):

cursor.execute(
"UPDATE ttt SET status = 'Good' FROM table ttt WHERE param1 = %s';",
('param2',))

我需要将 2 个参数传递给我的查询并以安全的方式执行(以防止 SQL 注入)。

我可以通过传递简单的字符串使其工作,但这不是安全的方法。

如何使用单个 cursor.execute 命令转义列名和值?

【问题讨论】:

    标签: python parameters escaping sql-injection pymssql


    【解决方案1】:

    在参数化查询中,参数只能用于提供列 values,而不是列 names。因此,您需要使用字符串操作来插入列名,然后使用参数来指定值。例如,使用 Python3:

    column_name = 'param1'
    column_value = 'param2'
    cursor.execute(f"UPDATE ttt SET status = 'Good' WHERE [{column_name}] = %s", (column_value,))
    

    在 Python2 中

    column_name = 'param1'
    column_value = 'param2'
    sql = "UPDATE ttt SET status = 'Good' WHERE [{}] = %s".format(column_name)
    cursor.execute(sql, (column_value,))
    

    【讨论】:

    • python 2.7 不支持“F”前缀。有解决办法吗?
    • 谢谢。你能在这里解释一下什么是方括号的作用吗? [ {} ]
    • @NirVana - 方括号是 T-SQL 分隔可能包含空格或“有趣字符”的表/列名称的标准方法。 ... WHERE tax rate = ... 不起作用,但 ... WHERE [tax rate] = ... 会。
    • 这并没有回答如何正确转义列名的问题,只是如何插入它们。
    猜你喜欢
    • 2015-06-06
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2016-07-18
    • 2017-02-24
    • 1970-01-01
    • 1970-01-01
    • 2023-04-01
    相关资源
    最近更新 更多