5

因此,我正在使用以下代码根据烧瓶中的用户输入构建查询:

    if empty_indic_form.validate_on_submit():
    query='select name, year, value, display_name from literal inner join ent on ent_id=ent.id where display_name in ('
    for i in indic_form.indicators.data:
        query=query+'\''+i+'\','
    query=query[:-1]+') '
    query=query+'and name in ('
    for c in order_c:
        query=query+c+','
    query=query[:-1]+')'
    data_return=db.engine.execute(query).fetchall()

我已经确认查询看起来像它应该的那样,甚至有一个更早的会话,它正在返回一个我期望的 rowproxy 对象列表。但现在无论我做什么,我都会收到这个错误!

我已将查询设置为模板中的一个变量,因此我可以将其打印出来,这就是我得到的:

select name, year, value, display_name from literal inner join ent on ent_id=ent.id where display_name in ('Energy savings of primary energy (TJ)','Adolescent birth rate (women aged 15-19 years)','Net migration rate','Transmission and distribution losses (%)') and name in ('Burkina Faso', 'Ghana', 'Saudi Arabia', 'Pakistan')

我直接在我的 Postgres DB 上运行它,结果非常好。

在错误转储中,我注意到该data_return=db.engine.execute(query).fetchall()行正在构建一个空字典作为参数,这当然最终会引发该错误。我可以强迫它不要这样做吗?查询对象看起来像上面那样,现在有什么问题?我是否应该在刷新页面或转到主页时终止 db 会话?

4

1 回答 1

17

您的方法中的基本错误是使用字符串连接来构建 SQL 查询。如果indic_form.indicators.data或者order_c是用户提供的数据,例如来自 HTTP 请求的数据,那么您可能已经为SQL 注入敞开了大门。错误

TypeError: 'dict' object does not support indexing

是这种连接的结果:您的查询字符串包含一个 rogue "%",它是psycopg占位符语法的一部分——通常与 SQLAlchemy 一起用于与 Postgresql 对话的 DB-API。这正是不应进行手动连接的原因。正确逃脱可能很困难。

使用Psycopg2中的元组适配将值列表传递给IN操作员。在 SQLAlchemy 中,您将使用列运算符,或在版本 1.2中引入的扩展绑定参数in_

不幸的是,在您的特定情况下,SQLAlchemy 包装引擎有一个陷阱:由于您的所有参数都是元组,SQLAlchemy 引擎认为您正在尝试将可迭代的参数元组作为参数传递并executemany()自动使用。您可以通过使用构造来解决此问题,该text()构造允许 DB-API 不可知的绑定参数语法和字典作为参数容器:

from sqlalchemy import text

...

if empty_indic_form.validate_on_submit():
    # Note that the placeholders shouldn't have enclosing parentheses
    query = """SELECT name, year, value, display_name
               FROM literal
               INNER JOIN ent ON ent_id = ent.id
               WHERE display_name IN :display_name
                 AND name IN :name"""

    data_return = db.engine.execute(
        text(query), {'display_name': tuple(indic_form.indicators.data),
                      'name': tuple(order_c)}).fetchall()

回顾一下:永远不要使用字符串连接或手动格式化来构建 SQL 查询。始终使用占位符/绑定参数。

于 2016-06-29T06:01:57.140 回答