python2.7 - python 如何执行mysql单个参数过滤

Question

使用python执行mysql，报错了：

name = "AAA'A"
cursor.execute('select * from tb where name=%s',name)
cursor.execute('select * from tb where name=%s',(name))

都会报错

query = query % tuple([db.literal(item) for item in args])
TypeError: not all arguments converted during string formatting

但是以下不会报错：

name = "AAA'A"
cursor.execute('select * from tb where name=%s and %s',(name,1))

python27 如何过滤mysql 单个参数

Answer 1

Memandangkan penyoal tidak menyebut perpustakaan mana yang digunakan untuk menyambung ke pangkalan data, andaikan anda menggunakan mysqldb.
Anda boleh melihat kod sumber mysqldb:

...
def execute(self, query, args=None):
    """
    ...
    args -- optional sequence or mapping, parameters to use with query.
    ...
    """
    if args is not None:
        # 首先判断args是否为字典类型
        if isinstance(args, dict):
            # 以k-v形式填入查询语句中。
            query = query % dict((key, db.literal(item))
                                 for key, item in args.iteritems())
        # 当args为非字典类型时
        else:
            # 遍历args, 最后生成一个元组填入查询语句中。
            query = query % tuple([db.literal(item) for item in args])
    ...

Seperti yang anda lihat, parameter args ialah jujukan atau pemetaan pilihan, iaitu, jenis parameter args yang dijangkakan ialah list atau tuple.
Kemudian lihat kembali pada parameter input yang anda berikan:

>>> name = 'test'
>>> type(name)
<type 'str'>
>>> type((name))
<type 'str'>
>>> type(('name', 1))
<type 'tuple'>

Jadi, penyelesaiannya mudah sahaja:

>>> type((name, ))
<type 'tuple'>
>>> cursor.execute('select * from tb where name=%s',(name, ))
1L

Perincian kecil terlibat di sini.
Apabila mencipta tuple dengan hanya satu elemen, anda perlu menambah koma, jika tidak, jurubahasa akan menciptanya sebagai rentetan.

Answer 2

cursor.execute('select * from tb where name="%s"',name)