当我有一个游标时,我知道我可以安全地执行如下查询:
cur.execute("SELECT * FROM foo WHERE foo.bar = %s", (important_variable,))
有没有办法在不执行查询的情况下安全地获取字符串?例如,如果important_variable是一个字符串,比如"foo 'bar' \"baz",我想要适当转义的字符串:
"SELECT * FROM foo WHERE foo.bar = "foo \'bar\' \"baz"
(或任何适当的转义,我什至不确定)。
我正在使用 psycopg 和 sqlobject。
查看游标的 mogrify 方法——它将在变量绑定后返回字符串并显示它所做的任何引用
cur.mogrify("SELECT * FROM foo WHERE foo.bar = %s", ("foo 'bar' \"baz",))
你还没有告诉我们你正在使用什么库或数据库,但我认为你的问题在这里得到了回答: 如何明确引用字符串值(Python DB API/Psycopg2)
SQLObject 自己处理转义/引用,但如果您想使用该功能:
from sqlobject.converters import sqlrepr
print(sqlrepr('SELECT * FROM foo WHERE foo.bar = "foo \'bar\' \"baz', 'postgres'))
结果:
'SELECT * FROM foo WHERE foo.bar = "foo ''bar'' "baz'