0

由于莫里斯·迈耶(Maurice Meyer)让我意识到的语法错误而编辑了问题

我需要保护应用程序免受 SQL 注入,因此使用Psycopg2中的sql模块。这会生成一个工作查询:

conn = get_db()
cur = conn.cursor()
with open(fp, 'r') as f:
    query = sql.SQL("COPY parts ({fields}) FROM STDIN WITH (FORMAT CSV, DELIMITER ';', ENCODING UTF8)").format(
        fields = sql.SQL(',').join(sql.Identifier(col) for col in cols))
    cur.copy_expert(query, f)

但是我想知道这是否是正确的解决方案。由于生成的查询是:

print(query.as_string(conn))
>>> COPY parts ("asin","name","t_id","supp_pid","acq_price","deposit","ean","m_pid") FROM STDIN WITH (FORMAT CSV, DELIMITER ';', ENCODING UTF8)

但是根据Postgresql 文档,标识符应该不加引号。为什么它仍然有效?

4

2 回答 2

0

你有一个错字:

sql.SQL("xxx".format(...))

代替:

sql.SQL("xxx").format(...)
             ^ this (

所以:

query = sql.SQL("COPY parts ({fields}) FROM STDIN WITH (FORMAT CSV, DELIMITER ';', ENCODING UTF8)").format(
        fields = sql.SQL(',').join(sql.Identifier(col) for col in cols))
于 2020-08-29T20:48:29.673 回答
0

支架未正确闭合。您正在使用format字符串而不是 SQL 对象:

with open(fp, 'r') as f:
    _sql = "COPY parts ({}) FROM STDIN WITH (FORMAT CSV, DELIMITER ';', ENCODING UTF8)"
    query = sql.SQL(_sql).format(
        sql.SQL(',').join(sql.Identifier(col) for col in cols)
    )
    print(query.as_string(conn))
    cur.copy_expert(query, f)

输出:

COPY parts ("firstname","lastname") FROM STDIN WITH (FORMAT CSV, DELIMITER ';', ENCODING UTF8)
Traceback (most recent call last):
  File "pg2.py", line 14, in <module>
    cur.copy_expert(query, f)
psycopg2.errors.UndefinedTable: relation "parts" does not exist

请注意,关于引用的标识符:

假设您有一个包含空格的列名,那么您需要引用它们才能使用它们。所以允许使用引号,同样的行为适用于 postgres 控制台。

>>> cur.execute("""select firstname, "desc ription" from users2 where lastname = 'bar'""")
>>> print(cur.fetchone())
RealDictRow([('firstname', 'fo'), ('desc ription', 'baz')])
于 2020-08-29T20:48:57.683 回答