17

我需要从 html 文件生成插入语句列表(用于 postgresql),是否有一个可用于 python 的库来帮助我正确地转义和引用名称/值?在 PHP 中我使用 PDO 进行转义和引用,是否有任何等效的 python 库?

编辑:我需要生成一个带有 sql 语句的文件,以便稍后执行

4

5 回答 5

26

我知道这是一个老问题,但我经常想要 OP 想要的东西:一个非常简单的库,用于生成基本 SQL。

下面的函数就是这样做的。你给他们一个表名和一个包含你想要使用的数据的字典,然后他们返回你需要的操作的 SQL 查询。

键/值对代表数据库行中的字段名称和值。

def read(table, **kwargs):
    """ Generates SQL for a SELECT statement matching the kwargs passed. """
    sql = list()
    sql.append("SELECT * FROM %s " % table)
    if kwargs:
        sql.append("WHERE " + " AND ".join("%s = '%s'" % (k, v) for k, v in kwargs.iteritems()))
    sql.append(";")
    return "".join(sql)


def upsert(table, **kwargs):
    """ update/insert rows into objects table (update if the row already exists)
        given the key-value pairs in kwargs """
    keys = ["%s" % k for k in kwargs]
    values = ["'%s'" % v for v in kwargs.values()]
    sql = list()
    sql.append("INSERT INTO %s (" % table)
    sql.append(", ".join(keys))
    sql.append(") VALUES (")
    sql.append(", ".join(values))
    sql.append(") ON DUPLICATE KEY UPDATE ")
    sql.append(", ".join("%s = '%s'" % (k, v) for k, v in kwargs.iteritems()))
    sql.append(";")
    return "".join(sql)


def delete(table, **kwargs):
    """ deletes rows from table where **kwargs match """
    sql = list()
    sql.append("DELETE FROM %s " % table)
    sql.append("WHERE " + " AND ".join("%s = '%s'" % (k, v) for k, v in kwargs.iteritems()))
    sql.append(";")
    return "".join(sql)

你像这样使用它。只需给它一个表名和一个字典(或使用 python 的 **kwargs 功能):

>>> upsert("tbl", LogID=500, LoggedValue=5)
"INSERT INTO tbl (LogID, LoggedValue) VALUES ('500', '5') ON DUPLICATE KEY UPDATE LogID = '500', LoggedValue = '5';"

>>> read("tbl", **{"username": "morten"})
"SELECT * FROM tbl WHERE username = 'morten';"

>>> read("tbl", **{"user_type": 1, "user_group": "admin"})
"SELECT * FROM tbl WHERE user_type = '1' AND user_group = 'admin';"

但要小心 SQL 注入攻击

看看当你的代码的恶意用户这样做时会发生什么:

>>> read("tbl", **{"user_group": "admin'; DROP TABLE tbl; --"})
"SELECT * FROM tbl WHERE user_group = 'admin'; DROP TABLE tbl; --';"

制作自己的临时 ORM 很容易,但你只能得到你所看到的——你必须自己转义输入:)

于 2012-11-14T12:09:42.330 回答
12

SQLAlchemy 提供了一种强大的表达式语言,用于从 Python 生成 SQL。

然而,与所有其他精心设计的抽象层一样,它生成的查询通过绑定变量插入数据,而不是通过尝试混合查询语言和插入单个字符串的数据。这种方法避免了大量的安全漏洞,否则就是正确的选择。

于 2009-10-14T04:21:40.573 回答
2

为了稳健性,我建议使用准备好的语句来发送用户输入的值,无论您使用什么语言。:-)

于 2009-10-14T02:35:09.640 回答
1

python db api 2.0有一个用于连接对象的“.execute”方法。您可以使用此函数指定参数(使用逗号而不是 % 符号将参数与查询字符串分开)。

于 2009-10-14T02:51:38.837 回答
1

通常手动引用参数是一个坏主意。如果转义规则出现错误怎么办?如果转义与使用的 DB 版本不匹配怎么办?如果您只是忘记转义某些参数或错误地认为它不能包含需要转义的数据怎么办?这一切都可能导致 SQL 注入漏洞。此外,当您需要为 LOB 列传递大数据块时,DB 可能对 SQL 语句长度有一些限制。这就是为什么 Python DB API 和大多数数据库(Python DB API 模块将透明地转义参数,如果数据库不支持这一点,就像早期的 MySQLdb 所做的那样)允许传递与语句分开的参数:

.execute(操作[,参数])

于 2009-10-14T04:23:07.517 回答