Я использую Python и MySQLdb для загрузки веб-страниц и сохранения их в базе данных. У меня проблема в том, что я не могу сохранить сложные строки в базе данных, потому что они не экранированы должным образом.
Есть ли функция в Python, которую я могу использовать для экранирования строки для MySQL? Я пробовал использовать ''' (тройные простые кавычки) и """, но это не сработало. Я знаю, что в PHP есть mysql_escape_string(), есть ли что-то подобное в Python?
Спасибо.
conn.escape_string()
См. сопоставление функций MySQL C API: http://mysql-python.sourceforge.net/MySQLdb.html< /а>
Библиотека MySQLdb на самом деле сделает это за вас, если вы будете использовать их реализации для построения строки SQL-запроса вместо того, чтобы пытаться создать свою собственную.
Не делайте:
sql = "INSERT INTO TABLE_A (COL_A,COL_B) VALUES (%s, %s)" % (val1, val2)
cursor.execute(sql)
Do:
sql = "INSERT INTO TABLE_A (COL_A,COL_B) VALUES (%s, %s)"
cursor.execute(sql, (val1, val2))
db.literal, что и escape, поэтому называть его более безопасным немного неправильно. Используйте его, потому что это проще для небольших запросов, но не беспокойтесь, что вы что-то упускаете, когда вам приходится создавать большой запрос или сценарий вручную.
- person c z; 30.04.2019
Используйте текстовую функцию sqlalchemy, чтобы удалить интерпретацию специальных символов:
Обратите внимание на использование функции text("your_insert_statement") ниже. Что он делает, так это сообщает sqlalchemy, что все вопросительные знаки и знаки процента в переданной строке следует рассматривать как литералы.
import sqlalchemy
from sqlalchemy import text
from sqlalchemy.orm import sessionmaker
from datetime import datetime
import re
engine = sqlalchemy.create_engine("mysql+mysqlconnector://%s:%s@%s/%s"
% ("your_username", "your_password", "your_hostname_mysql_server:3306",
"your_database"),
pool_size=3, pool_recycle=3600)
conn = engine.connect()
myfile = open('access2.log', 'r')
lines = myfile.readlines()
penguins = []
for line in lines:
elements = re.split('\s+', line)
print "item: " + elements[0]
linedate = datetime.fromtimestamp(float(elements[0]))
mydate = linedate.strftime("%Y-%m-%d %H:%M:%S.%f")
penguins.append(text(
"insert into your_table (foobar) values('%%%????')"))
for penguin in penguins:
print penguin
conn.execute(penguin)
conn.close()
Еще один способ обойти это — использовать что-то подобное при использовании mysqlclient в python.
предположим, что данные, которые вы хотите ввести, похожи на эти <ol><li><strong style="background-color: rgb(255, 255, 0);">Saurav\'s List</strong></li></ol>. Он содержит как двойные кавычки, так и одинарные кавычки.
Вы можете использовать следующий метод, чтобы избежать кавычек:
оператор = """ Обновить набор чатов html='{}' """.format(html_string.replace("'","\\\'"))
Примечание: три символа \ необходимы, чтобы избежать одинарной кавычки, которая есть в неформатированной строке Python.
установить пакет sqlescapy:
pip install sqlescapy
тогда вы можете избежать переменных в своем необработанном запросе
from sqlescapy import sqlescape
query = """
SELECT * FROM "bar_table" WHERE id='%s'
""" % sqlescape(user_input)
{!a} применяет ascii() и, следовательно, экранирует не-ASCII-символы, такие как кавычки и даже смайлики. Вот пример
cursor.execute("UPDATE skcript set author='{!a}',Count='{:d}' where url='{!s}'".format(authors),leng,url))
db_cur.execute('''UPDATE test_table SET field_1="%s" WHERE field_2="%s"''' % (data, condition))Обратите внимание на тройные одинарные и двойные кавычки вокруг%s- person zelusp schedule 29.10.2016%в вашем коде быть запятой,, иначе это то же самое? @zelusp - person Artemis schedule 15.07.2019% (data, condition)берет переменныеdataиconditionи помещает их в два заполнителя%s. - person zelusp schedule 15.07.2019conditionбыло, например," or 1 == 1 or", например, у вас была бы проблема.cur.executeобеспечивает побег, выполнивcur.execute('SOME COMMAND ?', [value]).?заменяется значением. - person Artemis schedule 21.07.2019