Truy vấn tham số với psycopg2/Python DB-API và PostgreSQL

Question

Cách tốt nhất để thực hiện truy vấn tham số pass psycopg2 thành PostgreSQL là gì? Tôi không muốn viết cơ chế escpaing của riêng tôi hoặc adapter và mã nguồn psycopg2 và các ví dụ rất khó để đọc trong một trình duyệt web.

Nếu tôi cần chuyển sang một cái gì đó như PyGreSQL hoặc bộ điều hợp pg trăn khác, điều đó tốt với tôi. Tôi chỉ muốn tham số đơn giản.

Answer 1

psycopg2 tuân thủ các quy tắc cho DB-API 2.0 (được đặt trong PEP-249). Điều đó có nghĩa là bạn có thể gọi phương thức execute từ đối tượng cursor của mình và sử dụng kiểu pyformat ràng buộc và nó sẽ thực hiện thoát cho bạn. Ví dụ, sau nên được an toàn (và nơi làm việc):

cursor.execute("SELECT * FROM student WHERE last_name = %(lname)s", 
       {"lname": "Robert'); DROP TABLE students;--"}) 

Answer 2

Dưới đây là một vài ví dụ bạn có thể thấy hữu ích

cursor.execute('SELECT * from table where id = %(some_id)d', {'some_id': 1234}) 

Hoặc bạn có thể tự động tạo truy vấn dựa trên một dict của tên trường, giá trị:

fields = ', '.join(my_dict.keys()) 
values = ', '.join(['%%(%s)s' % x for x in my_dict]) 
query = 'INSERT INTO some_table (%s) VALUES (%s)' % (fields, values) 
cursor.execute(query, my_dict) 

Lưu ý: các lĩnh vực phải được xác định trong mã của bạn, không phải là đầu vào của người dùng, nếu không bạn sẽ dễ bị tiêm SQL.

Answer 3

Từ các tài liệu psycopg

(http://initd.org/psycopg/docs/usage.html)

Cảnh báo Không bao giờ, không bao giờ, không bao giờ sử dụng Python chuỗi nối (+) hoặc nội suy tham số chuỗi (%) để chuyển các biến vào một chuỗi truy vấn SQL. Không, ngay cả ở gunpoint.

Cách đúng để vượt qua các biến trong một lệnh SQL được sử dụng đối số thứ hai của phương thức execute():

SQL = "INSERT INTO authors (name) VALUES (%s);" # Note: no quotes

data = ("O'Reilly",)

cur.execute(SQL, data) # Note: no % operator