在Python和sqlite中转义字符

我有一个python脚本,可将原始电影文本文件读入sqlite数据库。

我使用re.escape(title)将转义字符添加到字符串中,以使它们在执行插入操作之前是数据库安全的。

为什么这不起作用:

In [16]: c.execute("UPDATE movies SET rating = '8.7' WHERE name='\'Allo\ \'Allo\!\"\ \(1982\)'")

--------------------------------------------------------------------------- OperationalError Traceback (most recent call last)

/home/rajat/Dropbox/amdb/<ipython console> in <module>()

OperationalError: near "Allo": syntax error

但这有效(在两个位置删除了'):

In [17]: c.execute("UPDATE movies SET rating = '8.7' WHERE name='Allo\ Allo\!\"\ \(1982\)'") Out[17]: <sqlite3.Cursor object at 0x9666e90>

我不知道。我也不能放弃那些引号,因为它们实际上是电影标题的一部分。谢谢。

回答:

你这样做是错的。从字面上看。您应该使用如下参数:

c.execute("UPDATE movies SET rating = ? WHERE name = ?", (8.7, "'Allo 'Allo! (1982)"))

这样,您根本不需要执行 任何 引用,并且(如果这些值来自不受信任的任何人),您(在这里)也可以100%安全地免受SQL注入攻击。

以上是 在Python和sqlite中转义字符 的全部内容, 来源链接: utcz.com/qa/409615.html

回到顶部