ワイルドカードと LIKE キーワードを使用する SQL ステートメントでは、Python の文字列形式設定機能を使用するときに問題が発生する可能性があります。ここでは、一般的な落とし穴とその考えられる解決策をいくつか示します。
ワイルドカードを使用した % 文字列の書式設定を直接使用すると、エラーが発生する可能性があります。 Python の文字列フォーマットでは、ワイルドカードに使用される特殊文字が認識されないため、「インデックス 128 でサポートされていないフォーマット文字 '' (0x27)」というエラーが発生します。
文字列を連結すると書式設定の問題が解決するように見えるかもしれませんが、実際には、MySQLdb で使用すると、行が原因で構文エラーが発生します。 「cursors.py」ファイルの158。エラー「query = query % db.literal(args)」は、指定された引数の数が一致していないことを示しています。
'%%' の使用エスケープ シーケンスによっても、試行 3 と同じエラーが発生する可能性があります。
SQL インジェクション攻撃によるセキュリティ上の懸念を軽減するには、クエリ パラメータを指定してexecute() メソッドを使用することをお勧めします。このアプローチにより、ワイルドカード文字が適切に処理され、悪意のある入力が防止されます。
たとえば、次のコードは安全な実装を示しています。
curs.execute("""SELECT tag.userId, count(user.id) as totalRows
FROM user
INNER JOIN tag ON user.id = tag.userId
WHERE user.username LIKE %s""", ('%' + query + '%',))この例では、2 つの引数が実行メソッドに渡されます。 () 方法。最初の引数にはパラメータ化されたクエリが含まれ、2 番目の引数にはワイルドカード形式の値がタプルとして提供されます。このアプローチにより、ワイルドカードを使用した SQL ステートメントの安全かつ効率的な実行が保証されます。
以上がSQL ワイルドカードと LIKE ステートメントを使用した Python 文字列フォーマットを安全に使用するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
