【发布时间】:2021-01-04 16:51:06
【问题描述】:
我必须使用不符合 DBAPI 的库与数据库交互(qds_sdk 用于 Qubole)。这个库只允许发送不带参数的原始 SQL 查询。因此,我想要一种防 SQL 注入的方法来将参数插入到查询中,并在 Python 中获取结果格式的查询。类似于下面示例中的 format_sql 函数:
sql = 'select * from table where id = ?'
formatted_sql = format_sql(sql, (123,)) # 'select * from table where id = 123'
这完全可能还是 RDBMS 太特定了?
【问题讨论】:
-
见
cursor.execute。它将参数作为参数。 -
谢谢,但正如我所说,该库不符合 DBAPI。完全没有游标的概念。
标签: python sql sql-injection qubole