Python で SQLite3 を使用する場合、「?」パラメータ置換を使用すると「指定されたバインディングの数が正しくありません」が発生するのはなぜですか?

SQLite パラメータ置換の難問

SQL インジェクションから保護しようとして、開発者が Python 2.5 で SQLite3 を使用中にエラーが発生しました。推奨の「?」を採用する場合インジェクションを防ぐためにパラメータ置換を行うと、次のジレンマに直面しました:

sqlite3.ProgrammingError: Incorrect number of bindings supplied. The current statement uses 1, and there are 8 supplied.

この問題は、8 つのバインディングを含むデータベースの最初の作成に起因しているようです。ただし、各項目名に安全性の低い「%s」置換を使用すると、問題は解決されました。

for item in self.inventory_names:
    self.cursor.execute("SELECT weight FROM Equipment WHERE name = '%s'" % item)
    self.cursor.close()

この混乱を解決するには、Cursor.execute() メソッドの 2 番目としてシーケンスが必要であることを理解する必要があります。パラメータ。この例では、開発者はたまたま 8 文字の長さの文字列を提供していました。これを修正するには、次のコード変更を実装する必要があります:

self.cursor.execute("SELECT weight FROM Equipment WHERE name = ?", [item])

このパラメータ仕様に準拠することで、問題に効果的に対処でき、SQLite3 から安全かつ効率的にデータを取得できるようになります。

以上がPython で SQLite3 を使用する場合、「?」パラメータ置換を使用すると「指定されたバインディングの数が正しくありません」が発生するのはなぜですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。