2

我找不到解决方案。你能帮我解决这个问题吗?

    dic={'username':u'\uc774\ud55c\ub098','userid':u'david007', 'nation':u'\ub300\ud55c\ubbfc\uad6d'}
    c=MySQLdb.connect(host=ddb['host'],user=ddb['user'],passwd=ddb['passwd'],db=ddb['db'], use_unicode=True, charset="utf8")
    s=c.cursor()
    sql="INSERT INTO "+db+" "+col+" VALUES "+str(tuple(dic.values()))
    s.execute(sql)

    "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''\\uc774\\ud55 ... at line 1")

    print sql
    INSERT INTO user_tb (username, userid, nation) VALUES (u'\uc774\ud55c\ub098', u'david007', u'\ub300\ud55c\ubbfc\uad6d')

错误是:

4

1 回答 1

4

您需要使用参数化查询:

sql = "INSERT INTO " + db + " " + col + " VALUES (%s, %s, %s)"
s.execute(sql, dic.values())

当您简单地将元组连接到查询时,uunicode 字符串的前缀将使这些字符串无效 SQL。使用参数 MySQLdb,将使用参数替换做正确的事情(即将 unicode 字符串编码为字节表示)并生成有效的 SQL。

无论如何,作为一般原则,您应该始终在查询中使用参数来防止 SQL 注入。

于 2012-11-13T08:35:39.327 回答