Экранирование в cursor.execute() | Форум

27 Июнь 2014, 10:01

flashman.ru

Отклики: 14

27 Июнь 2014, 10:01

flashman.ru

Отклики: 14

Приветствую.

При выполнении чистого SQL происходит экранирование параметров. Например:

cursor.execute("SELECT foo FROM bar WHERE baz = '30%'") cursor.execute("SELECT foo FROM bar WHERE baz = '30%%' and id = %s", [self.id])

self.id передастся как 'значение self.id' в кавычках.

А можно ли передать значение без кавычек? Например, если я хочу передать название таблицы как параметр? Или это глупость?

Ответ | 0

27 Июнь 2014, 10:44 SashaO Отклики: 11 Местонахождение: Izhevsk	27 Июнь 2014, 10:44 SashaO Отклики: 11 Местонахождение: Izhevsk Если я правильн понял суть вопроса, то Можно просто формировать строку заранее. `raw_sql_query = '''SELECT foo FROM {0} WHERE baz = '30%%' and id = {1}'''.format(table_name,param) cursor.execute(raw_sql_query, None)`
	Ответ \| 0

27 Июнь 2014, 11:27

alerion

Отклики: 5748
Местонахождение: Львов

27 Июнь 2014, 11:27

alerion

Отклики: 5748
Местонахождение: Львов

У вас вроде все как в доке http://djbook.ru/rel1.6/topics/db/sql.html#passing-parameters-into-raw. Там все автоматом экранируется и подставляется в зависимости от типа. Может у вас в id строка? Самому формировать не нужно т.к. можно пропустить SQL injection.

Обновлено 27 Июнь 2014, 11:29 alerion.

Фиксю баги по трейсбеку.

Ответ | 0

27 Июнь 2014, 11:44 flashman.ru Отклики: 14	27 Июнь 2014, 11:44 flashman.ru Отклики: 14 Спасибо большое за ответы. Понял, что пытаюсь бороться с безопасностью. Пришел к выводу, что всё таки обходить автоматическое экранирование глупо. Лучше будет больше функций.
	Ответ \| 0