学习python中踩过的那些坑

最新推荐文章于 2022-07-30 11:31:09 发布

fr0der1c

最新推荐文章于 2022-07-30 11:31:09 发布

阅读量698

点赞数

分类专栏：程序开发文章标签： Python

本文链接：https://blog.youkuaiyun.com/vencent7/article/details/70584775

版权

程序开发专栏收录该内容

4 篇文章

订阅专栏

本文介绍Python中list与set的序列化技巧，探讨序列化过程中数据类型变化的问题，并提供预防SQL注入攻击的有效方法。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1. list 可以被序列化，但set不能被序列化，可以先用list(set)把 set 转换成 list 再序列化，有关序列化，参见http://www.liaoxuefeng.com/wiki/001374738125095c955c1e6d8bb493182103fac9270762a000/00138683221577998e407bb309542d9b6a68d9276bc3dbe000

2.反序列化（如json.loads）可能导致数据类型的变化，比如本来一个变量是 set，json.loads之后会变成一个 list，这体现了 python 的灵活性，但对于新手也很容易踩坑

3. mysql-conntector在execute(query,(params))时不支持表名用变量代替

4. A guide to preventing SQL injection: http://bobby-tables.com/python

Using the Python DB API, don't do this:

# Do NOT do it this way.
cmd = "update people set name='%s' where id='%s'" % (name, id)
curs.execute(cmd)

Instead, do this:

cmd = "update people set name=%s where id=%s"
curs.execute(cmd, (name, id))

Note that the placeholder syntax depends on the database you are using.

'qmark'         Question mark style,
                e.g. '...WHERE name=?'
'numeric'       Numeric, positional style,
                e.g. '...WHERE name=:1'
'named'         Named style,
                e.g. '...WHERE name=:name'
'format'        ANSI C printf format codes,
                e.g. '...WHERE name=%s'
'pyformat'      Python extended format codes,
                e.g. '...WHERE name=%(name)s'

The values for the most common databases are:

>>> import MySQLdb; print MySQLdb.paramstyle
format
>>> import psycopg2; print psycopg2.paramstyle
pyformat
>>> import sqlite3; print sqlite3.paramstyle
qmark

So if you are using MySQL or PostgreSQL, use %s (even for numbers and other non-string values!) and if you are using SQLite use ?

Python 是一门非常好的动态语言，相比于 Java 等语言，它提供了更大的自由度，但也对程序员提出了更高的要求。继续学习吧，加油。