Мне трудно использовать модуль MySQLdb для вставки информации в мою базу данных. Мне нужно вставить 6 переменных в таблицу.
cursor.execute ("""
INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)
VALUES
(var1, var2, var3, var4, var5, var6)
""")
Может ли кто-нибудь помочь мне с синтаксисом здесь?
Остерегайтесь использования интерполяции строк для SQL-запросов, так как она не будет правильно экранировать входные параметры и сделает ваше приложение уязвимым для SQL-инъекций. Разница может показаться незначительной, но на самом деле она огромна.
c.execute("SELECT * FROM foo WHERE bar = %s AND baz = %s" % (param1, param2))
c.execute("SELECT * FROM foo WHERE bar = %s AND baz = %s", (param1, param2))
Это добавляет путаницы из-за того, что модификаторы, используемые для привязки параметров в операторе SQL, различаются в разных реализациях API БД и что клиентская библиотека mysql использует синтаксис стиля printf вместо более общепринятого '?' маркер (используется, например, python-sqlite).
printf в стиле %s, и я был в ужасе от того, что пишу уязвимые запросы. Спасибо, что развеяли эту тревогу! :)
- person Darragh Enright; 28.06.2015
% и ,?
- person bzupnick; 03.04.2016
% помещает переменные в строку, это обычный код Python. , просто разделяет аргументы в вызове функции/метода, поэтому ваш список переменных становится вторым аргументом. Этот метод execute, по-видимому, имеет необязательный второй аргумент.
- person Luc; 14.05.2016
c.execute("SELECT * FROM foo WHERE bar = %s", (param1,))
- person Marius Lian; 27.07.2016
У вас есть несколько вариантов. Вы захотите освоиться с итерполяцией строк Python. Это термин, который вы, возможно, добьетесь большего успеха в поиске в будущем, когда захотите узнать что-то подобное.
Лучше для запросов:
some_dictionary_with_the_data = {
'name': 'awesome song',
'artist': 'some band',
etc...
}
cursor.execute ("""
INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)
VALUES
(%(name)s, %(artist)s, %(album)s, %(genre)s, %(length)s, %(location)s)
""", some_dictionary_with_the_data)
Учитывая, что вы, вероятно, уже имеете все свои данные в объекте или словаре, второй формат подойдет вам лучше. Также отстойно подсчитывать появление «%s» в строке, когда вам нужно вернуться и обновить этот метод через год :)
Связанные документы дают следующий пример:
cursor.execute ("""
UPDATE animal SET name = %s
WHERE name = %s
""", ("snake", "turtle"))
print "Number of rows updated: %d" % cursor.rowcount
Так что вам просто нужно адаптировать это к вашему собственному коду - пример:
cursor.execute ("""
INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)
VALUES
(%s, %s, %s, %s, %s, %s)
""", (var1, var2, var3, var4, var5, var6))
(Если SongLength является числовым, вам может понадобиться использовать %d вместо %s).
%s независимо от типа. @sheki: Да
- person ThiefMaster; 27.05.2016
На самом деле, даже если ваша переменная (SongLength) является числовой, вам все равно придется отформатировать ее с помощью %s, чтобы правильно связать параметр. Если вы попытаетесь использовать %d, вы получите сообщение об ошибке. Вот небольшой отрывок из этой ссылки http://mysql-python.sourceforge.net/MySQLdb.html< /а>:
Для выполнения запроса сначала нужен курсор, а потом уже можно выполнять запросы по нему:
c=db.cursor()
max_price=5
c.execute("""SELECT spam, eggs, sausage FROM breakfast
WHERE price < %s""", (max_price,))
В этом примере max_price=5 Зачем тогда использовать %s в строке? Потому что MySQLdb преобразует его в буквальное значение SQL, которое представляет собой строку «5». Когда он будет завершен, запрос на самом деле скажет: «...ГДЕ цена ‹ 5».
В качестве альтернативы выбранному ответу и с той же безопасной семантикой, что и у Марселя, вот компактный способ использования словаря Python для указания значений. Его преимущество заключается в том, что его легко изменить при добавлении или удалении столбцов для вставки:
meta_cols = ('SongName','SongArtist','SongAlbum','SongGenre')
insert = 'insert into Songs ({0}) values ({1})'.format(
','.join(meta_cols), ','.join( ['%s']*len(meta_cols)))
args = [ meta[i] for i in meta_cols ]
cursor = db.cursor()
cursor.execute(insert,args)
db.commit()
Где meta — это словарь, содержащий значения для вставки. Обновление можно сделать так же:
meta_cols = ('SongName','SongArtist','SongAlbum','SongGenre')
update='update Songs set {0} where id=%s'.
.format(','.join([ '{0}=%s'.format(c) for c in meta_cols ]))
args = [ meta[i] for i in meta_cols ]
args.append(songid)
cursor=db.cursor()
cursor.execute(update,args)
db.commit()
Первое решение работает хорошо. Здесь я хочу добавить одну маленькую деталь. Убедитесь, что переменная, которую вы пытаетесь заменить/обновить, должна иметь тип str. Мой тип mysql десятичный, но мне пришлось сделать переменную параметра как str, чтобы иметь возможность выполнить запрос.
temp = "100"
myCursor.execute("UPDATE testDB.UPS SET netAmount = %s WHERE auditSysNum = '42452'",(temp,))
myCursor.execute(var)
Вот еще один способ сделать это. Это задокументировано на официальном сайте MySQL. https://dev.mysql.com/doc/connector-python/en/connector-python-api-mysqlcursor-execute.html
По духу он использует ту же механику, что и ответ @Trey Stout. Тем не менее, я нахожу это более красивым и более читабельным.
insert_stmt = (
"INSERT INTO employees (emp_no, first_name, last_name, hire_date) "
"VALUES (%s, %s, %s, %s)"
)
data = (2, 'Jane', 'Doe', datetime.date(2012, 3, 23))
cursor.execute(insert_stmt, data)
И чтобы лучше проиллюстрировать необходимость переменных:
NB: обратите внимание на побег.
employee_id = 2
first_name = "Jane"
last_name = "Doe"
insert_stmt = (
"INSERT INTO employees (emp_no, first_name, last_name, hire_date) "
"VALUES (%s, %s, %s, %s)"
)
data = (employee_id, conn.escape_string(first_name), conn.escape_string(last_name), datetime.date(2012, 3, 23))
cursor.execute(insert_stmt, data)
