python执行sql语句时所传参数含有单引号

最新推荐文章于 2025-01-15 12:06:03 发布
最新推荐文章于 2025-01-15 12:06:03 发布
阅读量9.1k 收藏 5
点赞数 1
分类专栏: Python 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/VeastLee/article/details/80170357
版权

 

在编写自己的程序时,需要实现将数据导入数据库,并且是带参数的传递。

执行语句如下:

 

sql_str = "INSERT INTO teacher(t_name, t_info, t_phone, t_email) VALUES\

                             (\'%s\', \'%s\', \'%s\', \'%s\')" % (result, result2, phoneNumber, Email)

cur.execute(sql_str)    

 

执行程序后,产生错误:

 

ProgrammingError: (1064, "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '07、PRICAI'08、ACML'09 程序委员会主席/共同主席,多次担任 ACM K' at line 1")

 

发现是因为result2参数为一个字符串,而字符串中出现了单引号 ',mysql语句受到影响报错。

 

原本认为这个问题应该会是有标准解决方案,可是网上查询了一下,遇到这个问题的人不少,但没有很好的方法解决。

 

于是考虑了一下,可以让sql语句在读取到单引号时,知道这是字符串文本的单引号,所以可以将参数中单引号替换为 \' ,这样或许可以顺利语句如下:

 

result2 = result2.replace("'","\\'")      #将result2中的 ' 替换为 \'

PS: 这里请务必看清双引号以及反斜杠的使用:

经过测试,问题得到了顺利解决。

 

 

 

 

 

 

 

 

python拼接sql语句,如何在PythonSQL语句中使用变量和/或连接?
weixin_28676289的博客
03-26 2057
我在名为res的列表中有一个ID列表,在将结果保存到数组中之前,我希望逐行使用该列表作为SQL查询的WHERE条件:idsgrupos0 [160, 161, 365, 386, 471]1 [296, 306]下面是我试图在SQL查询中插入的内容:listado = [None]*len(res)# We store the hashtags...
python数据库查询怎么用变量_使用变量的Python SQL查询
weixin_42377196的博客
02-21 1508
#Delete suspense windowclass dWindow(QtGui.QMainWindow, Ui_dWindow):def __init__(self, parent = None):QtGui.QMainWindow.__init__(self, parent)self.setupUi(self)for row in cursor.execute("SELECT FIRSTN...
python脚本程序,传入参数*要用单引号'*'
weixin_30699465的博客
01-30 440
*号作为python脚本的传入参数,必须用单引号'',才能正确传入。如python test.py 2014 '*' age python test.py 2014 * age是错误的。 比如 test.py脚本如下 import sys hdfs_report_historical_year = sys.argv[1] # eg:2014-05,2014...
python中关于sql 添加参数
weixin_30883311的博客
03-25 876
背景:数据库day字段为date类型,这个候后端传一个值where条件 day = " %s "查询 sql = " select,sum(case when resultstatus='success' then 1 else 0 end) as successnumber,sum(case when resultstatus like '%fail%' then 1 else 0 en...
sql语句通过python传参注意点
最新发布
01-15 139
【代码】sql语句通过python传参注意点。
pythonsql相关(查询、更新),以及sql参数
xiangrikui1155的专栏
09-06 5054
import pymysql def beta_mysql(): connect = pymysql.Connect( host='1.1.1.1', port=3906, user='user', passwd='pwd', db='db', charset='utf8' ) return connect def select(sql): connect=beta_mysql(
解决python 执行sql语句所传参数含有单引号的问题
09-16
Python编程中,当我们需要执行SQL语句,有会遇到参数包含单引号(')的情况,这可能导致SQL语法错误。在描述的问题中,作者在尝试插入数据到`teacher`表遇到了编程错误,因为`t_info`字段的值`result2`...
python传递参数sql_Python MySQLdb 执行sql语句参数传递方式
weixin_39640687的博客
12-06 6133
使用MySQLdb连接数据库执行sql语句,有以下几种传递参数的方法。1.不传递参数conn = MySQLdb.connect(user="root",passwd="123456",host="192.168.101.23",db="cmdb")orange_id = 98sql = "select * from orange where id=%s" % orange_idcursor =...
pyMySQL SQL语句传参问题,单个参数或多个参数说明
12-17
本篇文章主要探讨如何在Python中通过pymysql库有效地传递参数SQL语句中,以避免SQL注入问题并提高代码可读性和可维护性。 首先,我们来看两种常用的传参方式: 1. **单个参数传参**: 使用`%s`作为占位符。例如...
浅谈pymysql查询语句中带有in传递参数的问题
12-17
这个初级代码会读取`old_data.txt`文件中的每一行,去除末尾的换行符,并在每行前添加单引号,每行之间用逗号分隔。但是,这会在最后一行末尾留下一个不必要的逗号。 升级代码: ```python with open('old_data.txt...
python sql语句参数化方式传入in值方法
喵酱
06-15 1576
python中,编写带in的语句实现动态传入值的实现方法
Python中的单引号、双引号、三引号
Tina_xiaaa的博客
01-08 9150
Python中,引号内的内容都是字符串类型的。
python mysql查询条件带变量方法
记录点滴
12-06 3765
python对mysql数据库进行, 查询、更新、删除条件,添加变量的方法 方法一:网上大多能搜索到的是拼接字符串的形式,方法如下: testcase_id = cur.execute('select * from service_testcase where test_name ="'+name+'"') 其中name为一个可变的字符串变量,要是变量为数值类型的变量,有候是不好用 ...
python一行sql太长折成多行并且有多个参数
热门推荐
melody_sy博客
09-03 1万+
sql语句有一个非常长的sql,用编辑器打开编写的候太长了导致编写非常吃力,而且容易错乱,我想做的是把A,B,C三个变量赋值到sql中的字段中去A=1 B=2 C=3sql = "update student t set t.name = '',t.sex = '',t.age = '',t.height = '',t.weight = '',t.class = '',t.stuid = '',t
python操作sqlite——数据库查询-动态传参——2020.12.25
weixin_43402353的博客
12-25 1631
python操作sqlites一丶python动态传参操作sqlites——龙马花雪毛,金鞍五陵豪—— 一丶python动态传参操作sqlites import sqlite3 conn=sqlite3.connect('jwxt.db') c=conn.cursor() userid = 'S002' mysel=c.execute("select SCORE from Grade where USERID='{}'".format(userid)) ——龙马花雪毛,金鞍五陵豪—— ...
python使用pymysql或者MySQLdb,数据内包含 \ 转义符或者其他特殊转义字符解决方案
loujun2016的博客
09-03 1万+
需求: 将爬虫获取的HTML页面源码原样保存到mysql数据库中,前段需要调用HTML页面原样展示 问题: HTML代码中有很多反斜杠 \ 符号,导致pymysql或者MySQLdb报错。 不能使用replace将报错字符替换。 解决方法:使用pymysql或者mysqlDb 提供的内置方法scape_string()   例如: row_html="\img\test.jpg" 里面包含...
python3拼接sql语句如何防止单引号转义?
09-10
Python3中拼接SQL语句,为了防止SQL注入攻击,应该避免直接拼接字符串,因为这样做可能会引发单引号转义问题,进而导致SQL注入安全漏洞。正确的做法是使用参数化查询,这样数据库驱动会自动处理单引号和其它特殊字符的转义问题。下面给出几个使用参数化查询的例子: 1. 使用原生SQL参数化查询(以MySQL为例): ```python import mysql.connector # 假设已经建立了数据库连接 conn cursor = conn.cursor() user_id = 123 query = "SELECT * FROM users WHERE id = %s" cursor.execute(query, (user_id,)) ``` 2. 使用ORM框架(例如SQLAlchemy): ```python from sqlalchemy import create_engine, Table, Column, Integer, String, MetaData engine = create_engine('mysql://username:password@localhost/dbname') metadata = MetaData() users = Table('users', metadata, Column('id', Integer, primary_key=True), Column('name', String(50))) user_id = 123 query = users.select().where(users.c.id == user_id) result = engine.execute(query).fetchone() ``` 3. 使用sqlite3模块: ```python import sqlite3 conn = sqlite3.connect('example.db') cur = conn.cursor() user_id = 123 query = "SELECT * FROM users WHERE id = ?" cur.execute(query, (user_id,)) for row in cur: print(row) ``` 在以上示例中,`%s`、`%s`和`?`都是参数占位符,用于代替直接拼接的变量值。数据库驱动会负责将这些占位符替换为适当的值,并自动处理任何必要的转义,从而防止SQL注入。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值