Sqlite 无法识别的令牌：“'''”

Question

我在 python 中使用 sqlite3 时遇到了问题。

def getEntryId(self, table, field, value, createNew=True):
    cur=self.con.execute("select rowid from %s where %s = '%s'" % (table, field, value))
    res=cur.fetchone()
    if res==None:
        cur=self.con.execute("insert into %s (%s) values('%s') " % (table, field, value))
        return cur.lastrowid
    else:
        return res[0]

但是，我遇到了这个： OperationalError：无法识别的令牌：“'''”。看来我的第二行代码不正确。 我不知道为什么，所以我做了同样的事情：

cu.execute("select rowid from urllist where %s = '%s'" % ('url', 'yes'))

它没有出现错误。为什么？我该如何解决？

Answer 1

您应该对查询进行参数化。虽然不能参数化表和字段名称，但可以使用字符串格式将表和字段名称插入查询中，但请确保您信任源或正确验证值：

query = "select rowid from {table} where {field} = %s".format(table=table, field=field)
cur = self.con.execute(query, (value, ))
res = cur.fetchone()

参数化不仅有助于防止SQL injection攻击，还可以处理数据类型转换，正确转义参数，也可以解决您当前的问题。