我正在尝试创建一个可重用的 mysql 语句,用于从字典进行更新,其中键是数据库字段,进入该字段的数据是字典中与之关联的值。这在创建一个插入 mysql 的函数时很容易,因为它只涉及两个列表。现在,我需要分解列表。
这是我必须处理的。
fields = self.dictionary.keys()
vals = self.dictionary.values()
stmt = "UPDATE TABLE table_name SET %s = '%s'" %(.join(fields), .join(vals))"
这会输出如下语句:
UPDATE TABLE table_name SET column1, column2 = ('value1','value2')
我需要它以标准格式输出以更新表格,例如:
UPDATE table_name SET column1=value1, column2=value2
您不想在使用字符串插值时使用文字值 - SQL 注入攻击不是一件好事(tm)。相反,您使用与您的数据库相关的占位符语法(我认为 MySQL 是 '%s')。
注意:我在.format这里使用,如果需要,可以更改为使用 %,但要转义任何 %
d = {'col1': 'val1', 'col2': 'val2'}
sql = 'UPDATE table SET {}'.format(', '.join('{}=%s'.format(k) for k in d))
print sql
# 'UPDATE table SET col2=%s, col1=%s'
假设cur是一个 DB 游标,执行查询的正确方法是:
cur.execute(sql, d.values())
这是有效的,因为尽管字典的顺序实际上是任意顺序,但字典的键/值的顺序将是一致的,使得dict(zip(d.keys(), d.values())) == d.
试试怎么样
stmt = "UPDATE TABLE table_name SET "
for k,v in di.items():
stmt += "%s = %s, " %(k,v)
stmt = stmt[-2:]