目前,我有一个包含用户名、密码等的数据库。 我希望查看数据库以检查其中是否存在重复项。
con = lite.connect('userInfo.db')
with con:
cur = con.cursor()
cur.execute("SELECT * FROM Users WHERE LOWER(Username) = LOWER(?)", (newID,))
rows = cur.fetchall()
if len(rows)!=0:
return "Duplicate detected"
这是我目前的代码。 newID
是一个新名称,我想检查数据库中是否有同名的现有条目。
我的问题是 - 我在我的代码中这样做的方式是个好主意吗?我主要关心我的方法。我应该使用 fetchall()
以外的东西吗?
感谢您的宝贵时间! :) 附言这是一个网站应用程序。
最佳答案
这里有一种方法可以完全按照您的要求进行操作 - 查明给定的 username
是否已经存在:
import sqlite3
conn = sqlite3.connect(":memory:")
conn.execute ("""
CREATE TABLE users (
uid INTEGER PRIMARY KEY AUTOINCREMENT,
username TEXT UNIQUE,
email TEXT UNIQUE );
""")
test_users = (
{'username':"Alice", 'email':"Alice@mail.com"},
{'username':"Billy", 'email':"Billy@mail.com"},
{'username':"Charles", 'email':"Charles@mail.com"},
{'username':"Dick", 'email':"Dick@mail.com"},
{'username':"Emily", 'email':"Emily@mail.com"},
{'username':"Faramir", 'email':"Faramir@mail.com"},
)
for user in test_users:
conn.execute("INSERT INTO users (username, email) VALUES (?,?)",
(user['username'],user['email'])
)
result = conn.execute("SELECT COUNT(*) FROM users WHERE username='Alice'")
number_of_Alices = result.next()[0] # number_of_Alices will be 1
因为您只需要 COUNT
就足够了。
不过,实际上,您不应该自己强制用户名的唯一性。通过将字段指定为 UNIQUE
或 PRIMARY KEY
,让数据库为您执行此操作。
如果你在像上面那样创建数据库后尝试插入 "Alice", "alice@wonderland.com"
,这将得到一个 sqlite3.IntegrityError:
>>> conn.execute("""INSERT INTO users (username, email)
... VALUES ("Alice", "alice@wonderland.com");""")
Traceback (most recent call last):
File "<stdin>", line 2, in <module>
sqlite3.IntegrityError: column username is not unique
要检测到这一点,请尝试运行 INSERT
并检测它是否失败。
try:
conn.execute("""INSERT INTO users (username, email)
VALUES ("Alice", "alice@wonderland.com");""")
except sqlite3.IntegrityError:
print ("Username 'Alice' was already taken.")
顺便说一句,使用大写/小写函数时要非常小心。 "Главное в новостях".lower()
是否如您所想?
既然你提到这是一个网络应用程序,我只是提醒你将密码存储为 salted hashes of the password, using unique salts for each user (永远不要作为纯文本!),并通过使用 SQL 查询的 (?,?,?,?,...)
占位符来防止 SQL 注入(inject),而不是 (%s ,%s) % (var1, var2)
字符串插值法。
Usually your SQL operations will need to use values from Python variables. You shouldn’t assemble your query using Python’s string operations because doing so is insecure; it makes your program vulnerable to an SQL injection attack.
Instead, use the DB-API’s parameter substitution. Put ? as a placeholder wherever you want to use a value, and then provide a tuple of values as the second argument to the cursor’s execute() method. (Other database modules may use a different placeholder, such as %s or :1.) For example:
如果您不这样做,那么其他人可能会请求用户名 Robert Menzies; DROP TABLE 用户;
为 hilarious results .
关于python - SQLite/Python 数据库检索和比较,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9764021/