Apabila Menggunakan SQLite3 dalam Python, Mengapakah \'Bilangan Ikatan yang Tidak Bekal\' Apabila Menggunakan \'?\' Penggantian Parameter?

SQLite Parameter Substitution Conundrum

Dalam percubaan untuk melindungi daripada suntikan SQL, pembangun mengalami ralat semasa menggunakan SQLite3 dengan Python 2.5. Apabila menggunakan "?" yang disyorkan penggantian parameter untuk mengelakkan suntikan, mereka menghadapi dilema berikut:

sqlite3.ProgrammingError: Incorrect number of bindings supplied. The current statement uses 1, and there are 8 supplied.

Isu ini nampaknya berpunca daripada penciptaan awal pangkalan data, yang mengandungi lapan pengikatan. Walau bagaimanapun, menggunakan penggantian "%s" yang kurang selamat untuk setiap nama item telah menyelesaikan masalah.

for item in self.inventory_names:
    self.cursor.execute("SELECT weight FROM Equipment WHERE name = '%s'" % item)
    self.cursor.close()

Penyelesaian kepada kebingungan ini terletak pada pemahaman bahawa kaedah Cursor.execute() memerlukan urutan sebagai yang kedua parameter. Dalam keadaan ini, pembangun menyediakan rentetan yang kebetulan mempunyai lapan aksara panjang. Untuk membetulkan perkara ini, pengubahsuaian kod berikut harus dilaksanakan:

self.cursor.execute("SELECT weight FROM Equipment WHERE name = ?", [item])

Dengan mematuhi spesifikasi parameter ini, isu ini boleh ditangani dengan berkesan, membolehkan pengambilan data yang selamat dan cekap daripada SQLite3.

Atas ialah kandungan terperinci Apabila Menggunakan SQLite3 dalam Python, Mengapakah \'Bilangan Ikatan yang Tidak Bekal\' Apabila Menggunakan \'?\' Penggantian Parameter?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!