使用Pythondbapi转义MySQL保留字 [英] Escaping MySQL reserved words with Python dbapi

问题描述

我正在为MySQL中的保留字问题寻找一个很好的"蟒蛇"和"无SQL注入"的解决方案。

我有以下代码：

alter_sql = 'ALTER TABLE %s ADD COLUMN %s TEXT'      
cursor.execute(alter_sql, sql_params)

当列名类似于‘index’、‘int’、‘Limit’时就会出现此问题...

在MySQL外壳中，我可以执行以下操作：

ALTER TABLE test ADD COLUMN test.limit;

或

ALTER TABLE test ADD COLUMN `limit`;

但不是

ALTER TABLE test ADD COLUMN 'test.limit';

如何使用Python和MySQLdb实现这一点？

推荐答案

也许这会起作用：

alter_sql = 'ALTER TABLE `%s` ADD COLUMN `%s` TEXT'

UPDATE：这似乎不起作用，因为这种方式的绑定参数将添加单引号，因为MySQLdb假定这是一个字符串文字。

或者，您可以在列名之前追加表名？

table_name = MySQLdb.escape_string(table_name)
escaped_column_name = MySQLdb.escape_string(column_name)
column_name = '`%s`.`%s`' % (table_name, escaped_column_name)

alter_sql = 'ALTER TABLE %s ADD COLUMN %s TEXT' % (table_name, column_name)

这样，您必须手动转义它们，以避免绑定它们并在其两边添加单引号。

这篇关于使用Pythondbapi转义MySQL保留字的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！