python - 在 % 内转义字符串

标签 python mysql pymysql

<分区>

我使用 PyMySQL 在 python 中从 MySQL 数据库查询:

filter = "Pe"
connection = pymysql.connect(host="X", user="X", password="X", db="X", port=3306, cursorclass=pymysql.cursors.SSCursor)
cursor = connection.cursor()
sqlquery = "SELECT * FROM usertable WHERE name LIKE '%%s%'"
cursor.execute(sql, (filter))
response = cursor.fetchall()
connection.close()

这不会返回任何内容。 我可以写:

sqlquery = "SELECT * FROM usertable WHERE name LIKE '%" + filter +"%'"

并执行:cursor.execute(sql),但随后我失去了转义,这使得程序容易受到注入(inject)攻击,对吧?

有没有办法可以在不丢失转义符的情况下将值插入 LIKE?

...WHERE name LIKE '%%%s%%'" 不起作用。我认为 %s 在替换的转义字符串的两侧添加 ' 作为其函数的一部分PyMySQL。

最佳答案

您需要将整个模式作为查询参数传递,并使用元组:

filter = "%Pe%"
sql = "SELECT * FROM usertable WHERE name LIKE %s"
cursor.execute(sql, (filter,))

关于python - 在 % 内转义字符串,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38635578/

上一篇:php - Doctrine manyToMany SQLSTATE [HY000] : General error: 1005 Can't create table (errno: 150)

下一篇:mysql - 一列指向多个表的表的模式设计

相关文章:

python - 将 pandas 数据框导出为交互文件 : row\t value\t col

php - Yii使用php代码而不是gii工具生成模型文件

python - PyMysql 更新查询

mysql - 使用 Python 连接到 AWS RDS MySql 数据库

python - 获取当前范围内所有变量及其值的字典

python - 所有响应都会返回并附加 'None'

python - Django REST 框架 - 带有附加参数的 HyperlinkedRelatedField

mysql - 我如何查询某行在另一个表中是否有N行那个外键呢?

Java批量插入MySQL非常慢

mysql - 优化MySQL中的where子句查询

©2024 IT工具网  联系我们