遇到一个挺诡异的问题
一直都是用execute加%s的方式执行SQL,因为说这样可以拦截SQL注入.
但是今天,相同的SQL在数据库连接工具能正常执行,放进了Python没有任何报错返回空元组.

部分代码示意

def selectInformation(self,colume,key):
    sql = "select * from `host` where %s = %s order by `time` desc limit 1;"
    self.cursor.execute(sql,[colume,key])
    print(self.cursor.fetchall())

SQL是根据提供的列和列值进行替换查询指定的列
数据库是有数据的,相同的语句替换掉%s就可以正常执行.
但是上段代码执行报错了,翻阅部分源码说支持三种传参,列表.元组,或者字典.

换成字典再次试了下

def selectInformation(self,colume,key):
    sql = "select * from `host` where %(colume)s = %(key)s order by `time` desc limit 1;"
    self.cursor.execute(sql,{'colume':colume,'key':key})
    print(self.cursor.fetchall())

但是还是不行.

群里某位大佬让我格式化字符串试了下,成了…

解决方式:改为format或其他字符串格式化方式

def selectInformation(self,colume,key):
    sql = "select * from `host` where {} = '{}' order by `time` desc limit 1;".format(colume,key)
    # try:
    self.cursor.execute(sql)
    # except:
    #     return {'error':'query error,please check args'}
    print(self.cursor.fetchall())
Logo
AI编程社区

汇聚全球AI编程工具,助力开发者即刻编程。

更多推荐

cover

人工智能、机器学习与深度学习:概念解析与内在联系

avatar AI编程社区

论文阅读--Logical quantum processor based on reconfigurable atom arrays

论文提出了一种基于可重构中性原子阵列的逻辑量子处理器,旨在通过量子纠错(QEC)和逻辑量子比特编码,解决物理量子比特的噪声限制问题。:利用三维[[8,3,2]]码实现48逻辑量子比特的快速扰乱(scrambling)电路,包含228个逻辑双量子比特门和48个逻辑CCZ门,跨熵基准(XEB)显著优于物理量子比特。:通过双拷贝测量技术提取纠缠熵和“魔力”(magic),验证了逻辑量子比特在模拟复杂量子

avatar AI编程社区
cover

防范人工智能泄密风险:多管齐下确保信息安全

avatar AI编程社区