10

我正在尝试创建一个可重用的 mysql 语句,用于从字典进行更新,其中键是数据库字段,进入该字段的数据是字典中与之关联的值。这在创建一个插入 mysql 的函数时很容易,因为它只涉及两个列表。现在,我需要分解列表。

这是我必须处理的。

fields = self.dictionary.keys()
vals = self.dictionary.values()

stmt = "UPDATE TABLE table_name SET %s = '%s'" %(.join(fields), .join(vals))"

这会输出如下语句:

UPDATE TABLE table_name SET column1, column2 = ('value1','value2')

我需要它以标准格式输出以更新表格,例如:

UPDATE table_name SET column1=value1, column2=value2
4

2 回答 2

18

您不想在使用字符串插值时使用文字值 - SQL 注入攻击不是一件好事(tm)。相反,您使用与您的数据库相关的占位符语法(我认为 MySQL 是 '%s')。

注意:我在.format这里使用,如果需要,可以更改为使用 %,但要转义任何 %

d = {'col1': 'val1', 'col2': 'val2'}
sql = 'UPDATE table SET {}'.format(', '.join('{}=%s'.format(k) for k in d))
print sql
# 'UPDATE table SET col2=%s, col1=%s'

假设cur是一个 DB 游标,执行查询的正确方法是:

cur.execute(sql, d.values())

这是有效的,因为尽管字典的顺序实际上是任意顺序,但字典的键/值的顺序将是一致的,使得dict(zip(d.keys(), d.values())) == d.

于 2012-07-17T07:17:15.817 回答
0

试试怎么样

stmt = "UPDATE TABLE table_name SET "
for k,v in di.items():
    stmt += "%s = %s, " %(k,v)

stmt = stmt[-2:]
于 2012-07-17T07:19:12.650 回答