Pymysql字段用%s占位符报错

已于 2022-03-23 13:37:49 修改
阅读量4.9k 收藏 12
点赞数 2
文章标签: mysql 数据库 database
于 2022-03-12 10:22:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_64336020/article/details/123438054
版权

前言

本文主要试图使用占位符或其他方法来动态更新字段,达到对多个字段进行批量更新。但是在摸索一段时间后仍没能解决,倒是了解了sql防注入的风险。

我们知道,pymysql批量更新是使用executemany(sql,data)。 当想对多个字段进行批量更新,自然而然想到用这样的形式。

data = [['字段1',123,'admin'],['字段2',234,'admin']]

sql = 'update user_table set %s=%s where username =%s'
cur.executemany(sql,data)

这样写报错。

 

mysql中的字段是用 ` (tab键上方的引号)括起来的。用占位符传值这种形式,会自动带上单引号',且pymysql 的占位符并不是 python 的通用占位符。

如果是只需要传值,那么这里的sql是正常的。但如果是表名和key,sql会变成这样:

sql="update "table" set "key"="value"

解决办法:

一、对于批量更新语句

暂时没有找到可以使用 executemany(sql,data) 进行批量更新的办法。

1- 提前将sql语句拼接好。

sql="update" + table + " set " + key + "=%s" # 注意set前后的空格
cursor.execute(sql, (value,))
# cursor.execute(sql, value)

2- 使用%s作为字段占位符,带(参数)传值,有sql注入风险

# 对表名和字段使用了%s占位符,此种写法成功执行了sql语句。
sql = 'update %s set %s="%s"' %(表名,字段名,值)
cursor.execute(sql)

# 以下几种对表名和字段使用了%s占位符,在执行sql语句时均报错
# updata = [['字段1','字段1值','用户名'],['字段12','字段2值','用户名']]
# sql = 'update user_table set %s=%s where username =%s'
# cur.executemany(sql,updata)
# cur.execute(sql,updata[0])
# cur.execute(sql,(col_id,cnt,username)) #col_id = '字段1', cnt = '字段1值'
conn.commit()

3- 防sql注入

 a、字典传值

#1- 使用字典传值,不能传表名和字段名
# 以下对字段名进行传值,报错
# sql = 'update user_table set %(col_id)s=%(cnt)s where username =%(name)s'
# data = {'col_id':'counts','cnt':cnt,'name':username}
# cur.execute(sql,data)
# conn.commit()

sql = 'update user_table set counts =%(cnt)s where username =%(name)s'
data = {'cnt':cnt,'name':username}
cur.execute(sql,data)
conn.commit()

b、,逗号传值,不要用%

sql = "insert into 表名 (字段名1,字段名2,字段名3,) values (%s,%s,%s)"
cur.execute(sql, (val1,val2,val3))

# sql = "insert into 表名 (字段名1,字段名2,字段名3,) values (%s,%s,%s)" %(val1,val2,val3)
# cur.execute(sql) # 有sql注入风险

4- {}.format形式作为表名或字段名占位 

二、对于批量插入语句

用逗号连接将字段列表转成字符串

field_names = ','.join(field_names)

python-小卒
关注
python 中 pymysql拼接执行入参踩坑(%跟%%的区别)总结
qq_30966497的博客
10-23 4719
一、对于不同类型的入参,有不同的占位符,但是用多了会发现,%s才是真理 二、sql拼接可以用%s,也可以用format,如果不考虑sql注入风险问题,个人建议使用format,可以接受dict为入参进行匹配。 三、在考虑sql注入风险的情况下,可以将拼接好的sql跟入参分开,调用cur.execute(sql, params)来规避sql注入风险。 需要注意的是,这里有两种使用方式,建议使...
mysql 参数%s_在使用pymysqlmysql进行操作时,使用%s给excute传入参数时出错
weixin_42527665的博客
02-11 2261
在使用pymysqlmysql进行操作时,使用%s给excute传入参数时出错,错误代码如下:table="huxing_table"key="house_structure_page_url"value="test"cursor=db.cursor()cursor.execute("INSERT INTO %s (%s) VALUES(%s)",(table,key,value))db.com...
python占位符 mysql_python操作mysql
weixin_36134871的博客
02-03 1162
在操作数据库的时候,python2中一般使用mysqldb,但在python3中已经不在支持mysqldb了,我们可以用pymysqlmysql.connector。本文的所有操作都是在python3的pymysql下完成的。一、基本操作(1) 查询import pymysqlconn = pymysql.connect(host='127.0.0.1', user='root', passwd...
python——执行带有%的sql执行报错解决方法
Lenskit
07-25 5245
今天在使用pandas的pd.read_sql_query(sql,engine)方法读取pg库字段报错,'dict' object does not support indexing。 查了一下,原因是sql语句中的'%',可以使用pd.read_sql_query(text(sql),engine)解决。
python字符串组成MySql 命令时,插入数据报错
qq_33290233的博客
04-11 624
python向mysql数据库插入数据时经常会碰到一些特殊字符,如单引号,双引号。 原代码 sql2 = "select ds, country, per_hundred from covid_vaccination_doses_per where country = '{}'".format(i[0]) 报错 pymysql.err.ProgrammingError: (1064, “You have an error in your SQL syntax; check the manual that
解决pymysql使用%s占位符传参报TypeError: not enough arguments for format string的问题
leo__programmer的博客
10-08 1341
这样写就会报typeError错误 sql = "SELECT * FROM pas_app_inout_plan WHERE departure_train_code = '%s' AND station_name = '%s' and DATE_FORMAT(arrival_time,'%%Y-%%m-%%d') like '%s' ORDER BY arrival_time DESC"%input7.get()%input6.get()%input9.get() 给参数改成%(,,)的形式就不会报错
发生错误:(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 9"),这是使用pymysql保存数据时代码出现的报错,该如何解决
最新发布
03-13
比如,使用%符号拼接变量时,如果变量中包含特殊字符,或者格式字符串中的占位符数量与实际参数不匹配,会导致SQL语句不正确。这时候建议使用参数化查询,而不是直接拼接字符串,这不仅可以避免SQL注入,还能自动...
pymsql插入语句%d与%s
02-22
1. pymysql中统一使用%s作为占位符,无论参数类型。 2. 不要使用%d或其他占位符,否则会报错。 3. 使用参数化查询而非字符串格式化,以确保安全。 4. 举例说明正确和错误的用法。 5. 提醒注意SQL注入的问题。在 **...
import pymysqlimport csvimport pandas as pdcon = pymysql.connect(host='localhost', user='root', port=3306, password='123456', charset="utf8", database='xscj')cur = con.cursor()with open('student.csv', encoding="utf-8") as f: data = [tuple(row) for row in csv.reader(f, delimiter=',')] print(data)sql = "insert into stu(sno, name, major, born, nian, money) values(%s, %s, %s, %s, %s, %s)"cur.executemany(sql, data)cur.execute("select * from stu")result = cur.fetchall()print(result)con.commit()cur.close()con.close()为什么还是会报错
06-07
你需要检查 SQL 语句是否正确,特别是字段名、表格名、数据类型、占位符等是否正确。 2. `pymysql.err.InternalError: (1366, "Incorrect string value...")`:这种报错信息通常是由于编码不匹配导致的。你需要检查...
Python使用pymysql和cx_Oracle插入数据的对比
六月闻君
02-29 661
使用Python向MySQL和Oracle数据库插入数据,常用的数据类型字符串,日期,数字,insert命令的拼接异同之处进行对比。
python 在sql语句中使用%s,%d,%f说明
01-20
python连接数据库执行增删查改 mysql数据库 import pymysql postgresql数据库 import psycopg2 普通含%的python语句 sql语句中 普通sql语句 select * from tables where tablename = ‘table_name’ ,所以这里该加的引号还是要加 不加的情况 翻页的情况 like的情况 因为普通sql语句是 where 列名 like ‘4301%’ 这里需要多加一个%防止转义 补充知识:python 中 sql 语句包含%怎么格式化 问题描述: python中sql语句包含 % 时,格式化会出问
python中用来占位_python占位符(引用“沉默的赌徒”)
weixin_39665787的博客
11-26 213
今天就来总结一下占位符%的使用%[(name)][flags][width].[precision]typecode不要被上面这一大串给吓唬到了,实际上这也是Python的魅力所在一个个分析1、(name)属性,它是用来传入字典值的示例:print('hi %(name)s' %{'name':'jack'})结果: hi jack2、[flags]属性,作为用户对一些格式的选择,只有固定的几个值...
python使用插入带有%的字符串到mysql数据库
彭世瑜的博客
07-18 6874
使用Navicat插入 新建包含两个字段,分别是id(自增主键),name(姓名)的数据表 CREATE TABLE `student` ( `id` int(11) NOT NULL AUTO_INCREMENT, `name` `varchar`(20) DEFAULT NULL, PRIMARY KEY (`id`) ) ENGINE=InnoDB DEFAULT CHARS...
mysql占位符的使用,与sqlite3有区别!
weixin_43081548的博客
01-12 606
作为一个mysql的初学者,写这篇是因为作者最近在写作业的时候踩了血坑,因为前期用的是sqlite,由于先入为主,所以刚开始写代码的时候还是用的?, 但是调试的时候怎么也不对,问gpt也没有答到关键的点上,整了一晚上。
Python MySQLdb 执行sql语句时的参数传递
翔云
05-11 8511
使用MySQLdb连接数据库执行sql语句时,有以下几种传递参数的方法。 1.不传递参数 conn = MySQLdb.connect(user="root",passwd="123456",host="192.168.101.23",db="cmdb") orange_id = 98 sql = "select * from orange where id=%s" % orange_id c...
python-create_engine插入数据库编码问题-20230831
xiuxiuxiu666的博客
08-31 479
报错:UnicodeEncodeError: ‘charmap’ codec can’t encode characters in position 82-83: character maps to。去pypi下载一个合适的mysqlclient放到anaconda的sitepackage下面即可。另:今天create_engine刚开始用的时候会报找不到mysqldb的问题。发现之前还有好多linux设置定时任务的小技巧没有整理上来。一年没打鱼了,争取后面4个月疯狂收割 :)
Pymysql
Byfar
12-07 359
一次性插入多字段 职位信息和 公司信息到 mysql 。 # 适用于表已经存在 # 插入的字段一定要和表结构字段 以及类型一样 import pymysql class JzmPipeline(object): '''把数据存储到mysql数据库中''' # 1. 在open_spider方法中, 链接Mysql数据库 def open_spider(sel...
使用 pymysql 操作MySQL数据库
乐百川
04-02 8780
安装PyMySQLPyMySQL是一个Python编写的MySQL驱动程序,让我们可以用Python语言操作MySQL数据库。首先,使用pip安装PyMySQL。pip install PyMySQL使用PyMySQL如果有JDBC等其他语言的数据库学习经验的话,使用PyMySQL非常简单。下面是一个完整的MySQL增删查(没有改)的例子。import pymysql import datetime
python 执行sql语句 ,不要在用%s,format了--pymssql踩过的坑
热门推荐
weixin_42221102的博客
11-29 1万+
最近需要使用sqlserver,当时随便搜了下教程发现很简单,就没有看pymssql API,踩了一些坑。 在需要向sql语句传参的时候,习惯使用python语句,%s,format函数,结果是各种报错,在网上找了一下居然没有很好的解决,然后找了下api看,发现如此简单!不多说了,上例子 以下是官方例子:   from os import getenv import pymssql s...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值