python - SQLite 语句中无法识别的标记

Question

我正在将数据从一个表插入到另一个表，但是由于某种原因我得到了“无法识别的标记”。这是代码:

cur.execute("INSERT INTO db.{table} SELECT distinct latitude, longitude, port FROM MessageType1 WHERE latitude>={minlat} AND latitude<={maxlat} AND longitude>= {minlong} AND longitude<= {maxlong}".format(minlat = bottomlat, maxlat = toplat, minlong = bottomlong, maxlong = toplong, table=tablename))

这转化为以下内容，具有以下值:

INSERT INTO db.Vardo SELECT distinct latitude, longitude, port FROM MessageType1 WHERE latitude>=69.41 AND latitude<=70.948 AND longitude>= 27.72 AND longitude<= 28.416

错误代码如下:

sqlite3.OperationalError: unrecognized token: "70.948 AND"

是小数点后三位的问题吗？

这是表的创建语句:

cur.execute("CREATE TABLE {site} (latitude, longitude, port)".format(site = site))

Answer 1

不要通过字符串格式进行 SQL 查询，使用驱动程序的能力来准备 SQL 查询并将参数传递到查询中 - 这样您就可以避免 SQL 注入(inject)，并且可以处理传递不同类型的参数透明:

query = """
    INSERT INTO 
        db.{table} 
    SELECT DISTINCT
        latitude, longitude, port 
    FROM 
        MessageType1 
    WHERE 
        latitude >= ? AND 
        latitude <= ? AND 
        longitude >= ? AND 
        longitude <= ?
""".format(table=tablename)
cur.execute(query, (bottomlat, toplat, bottomlong, toplong))