5

在 SQLite 中使用带有命名参数的准备好的语句(特别是使用 python sqlite3 模块http://docs.python.org/library/sqlite3.html)时,无论如何都要包含字符串值而不用引号括起来?

我有这个:

columnName = '''C1'''
cur = cur.execute('''SELECT DISTINCT(:colName) FROM T1''', {'colName': columnName})

看来我最终得到的 SQL 是这样的:

SELECT DISTINCT('C1') FROM T1

当然这没什么用,我真正想要的是:

SELECT DISTINCT(C1) FROM T1 .

有什么方法可以提示执行方法以不将引号括起来的方式解释提供的参数?

我编写了一个小测试程序来充分探索这一点,所以它的价值在于:

import sys
import sqlite3
def getDatabaseConnection():
    DEFAULTDBPATH = ':memory:'

    conn = sqlite3.connect(DEFAULTDBPATH, detect_types=sqlite3.PARSE_DECLTYPES|sqlite3.PARSE_COLNAMES)
    conn.text_factory = str

    return conn

def initializeDBTables(conn):
    conn.execute('''
    CREATE TABLE T1(
      id INTEGER PRIMARY KEY AUTOINCREMENT,
      C1 STRING);''')   
    cur = conn.cursor()
    cur.row_factory = sqlite3.Row  # fields by name 

    for v in ['A','A','A','B','B','C']:
        cur.execute('''INSERT INTO T1 values (NULL, ?)''', v)

    columnName = '''C1'''
    cur = cur.execute('''SELECT DISTINCT(:colName) FROM T1''', {'colName': columnName})

    #Should end up with three output rows, in
    #fact we end up with one
    for row in cur:
        print row


def main():
    conn = getDatabaseConnection()
    initializeDBTables(conn)

if __name__ == '__main__':
    main()

无论如何都会有兴趣听到操纵执行方法以使其工作的消息。

4

2 回答 2

4

SELECT DISTINCT(C1) FROM T1C1不是字符串值,而是一段SQL代码。参数(在 中转义execute)用于插入值,而不是代码片段。

于 2010-11-16T08:30:46.513 回答
0

您正在使用绑定,绑定只能用于值,不能用于表或列名。您将不得不使用字符串插值/表单设置来获得您想要的效果,但如果列名来自不受信任的来源,它确实会让您面临 SQL 注入攻击。在这种情况下,您可以清理字符串(例如,只允许字母数字)并使用授权人界面来检查不会发生意外活动。

于 2010-11-20T05:33:50.540 回答