9

作为记录,我使用的是 Python 和 SQLlite。我有一个可以生成我需要的 SQL 的工作函数,但它似乎不正确。

def daily(self, host=None, day=None):
    sql = "SELECT * FROM daily WHERE 1"
    if host:
        sql += " AND host = '%s'" % (host,)
    if day:
        sql += " AND day = '%s'" % (day,)
    return sql

稍后我可能需要添加多个列和条件。

有更好的想法吗?

编辑: 看起来不正确的是我正在从字符串动态构建 SQL。这通常不是最好的方法。SQL 注入攻击,需要正确转义字符串。我不能使用占位符,因为有些值是 None 并且不需要在 WHERE 子句条件中。

4

2 回答 2

15

真的不想使用字符串格式来包含值。通过 SQL 参数将其留给数据库 API。

使用参数你:

  • 让数据库有机会准备语句并重用查询计划以获得更好的性能。
  • 省去正确转义值的麻烦(包括避免允许 SQL 转义和那些 SQL 注入攻击)。

由于 SQLLite支持命名 SQL 参数,我将返回一个语句和一个带参数的字典:

def daily(self, host=None, day=None):
    sql = "SELECT * FROM daily"
    where = []
    params = {}
    if host is not None:
        where.append("host = :host")
        params['host'] = host
    if day is not None:
        where.append("day = :day")
        params['day'] = day
    if where:
        sql = '{} WHERE {}'.format(sql, ' AND '.join(where))
    return sql, params

然后将两者传递给cursor.execute()

cursor.execute(*daily(host, day))

SQL 生成很快变得复杂,您可能希望查看SQLAlchemy 核心来代替生成。

对于您的示例,您可以生成:

from sqlalchemy import Table, Column, Integer, String, Date, MetaData

metadata = MetaData()
daily = Table('daily', metadata, 
    Column('id', Integer, primary_key=True),
    Column('host', String),
    Column('day', Date),
)
from sqlalchemy.sql import select

def daily(self, host=None, day=None):
    query = select([daily])
    if host is not None:
        query = query.where(daily.c.host == host)
    if day is not None:
        query = query.where(daily.c.day == day)
    return query

query对象可以应用其他过滤器、排序、分组、用作其他查询的子选择、连接并最终发送以执行,此时 SQLAlchemy 会将其转换为适合您连接到的特定数据库的 SQL。

于 2013-03-19T10:04:21.910 回答
3

只是为了完整性。我发现 pypika 库非常方便(如果允许使用库):

https://pypika.readthedocs.io/en/latest/index.html

它允许像这样构造 sql 查询:

from pypika import Query

q = Query._from('daily').select('*')
if host:
     q = q.where('host' == host)
if day:
     q = q.where('day' == day)
sql = str(q)
于 2019-12-06T09:13:42.193 回答