我是MySQL-Python连接器编码的新手,具体内容如下 [英] I am a newbie to the MySQL-python connector coding, specifics given below
本文介绍了我是MySQL-Python连接器编码的新手,具体内容如下的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我需要将变量连接到要从表中检索特定详细信息的搜索条件:
purchase = input("Please enter your Transaction ID(Found in the format - Letter-Number-Letter-Letter-Number, like A9BH1): ")
在这里,我需要在
中使用‘购买’作为条件 sql = "select * from 4wps where T_ID = "
cursor.execute(sql)
result = cursor.fetchall()
我不知道如何在上面的样本中输入‘T_ID=’后的‘Purchase’。我遵循了一个朋友的代码,但他显然是从某个地方抄袭来的。
我在印度的CBSE排名第12,这是为了一个项目,因此我不能使用任何高级的东西。
推荐答案
如果您阅读official docs,您可以(也应该!)使用元组或字典将参数传入查询:
cursor.execute(operation, params=None, multi=False)
对于您的查询,您可以这样做。
sql = 'SELECT * FROM 4wps WHERE T_ID = %s'
cursor.execute(sql, (purchase,))
或者这样
sql = 'SELECT * FROM 4wps WHERE T_ID = %(tid)s'
params = {'tid': purchase}
cursor.execute(sql, params)
在这两种情况下,连接器都会将purchase
变量的内容放入查询中,并在必要时自动为字符串添加引号。通常首选使用这种技术,因为它提供了一些针对SQL注入攻击的保护。
我不确定这是否有效,但想象一下,如果用户键入以下内容:
Please enter your Transaction ID
(Found in the format - Letter-Number
-Letter-Letter-Number, like A9BH1):
(DROP TABLE 4wps)
您的数据表可能会被销毁。
SQL注入的另一个幽默示例是Bobby Tables,下面将再次解释here
这篇关于我是MySQL-Python连接器编码的新手,具体内容如下的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文