我必须使用不符合 DBAPI 的库来与数据库交互(qds_sdk对于 Qubole)。这个库只允许发送不带参数的原始 SQL 查询。因此,我想要一种防 SQL 注入的方式来将参数插入查询并在 Python 中获取结果格式的查询。类似于format_sql下面示例中的函数:
sql = 'select * from table where id = ?'
formatted_sql = format_sql(sql, (123,)) # 'select * from table where id = 123'
这是可能的,还是它太特定于 RDBMS?
我不太了解 Quoble 及其接受的 SQL 方言,而且您可能要处理的数据类型范围很广。但在许多情况下,将参数转换为字符串,然后通过将单引号字符加倍或在它们前面加上反斜杠(例如,MySQL 允许这两种方法)来转义单引号字符,这可能是您能做的最好的事情。我将%s用作您的伪准备语句的占位符:
from datetime import date
def format_sql(query, args):
new_args = []
for arg in args:
new_args.append(str(arg).replace("'", "''"))
return query.replace("%s", "'%s'") % tuple(new_args)
print(format_sql("insert into mytable(x, y, z) values(%s, %s, %s)", ("Booboo's car", date.today(), 2)))
印刷:
insert into mytable(x, y, z) values('Booboo''s car', '2021-01-04', '2')
如果有任何可能%s出现在您的 SQL 中而不是作为占位符的某些上下文中,那么您需要将单引号放在那些实际占位符并且没有函数format_sql执行该功能的事件周围:
from datetime import date
def format_sql(query, args):
new_args = []
for arg in args:
new_args.append(str(arg).replace("'", "''"))
return query % tuple(new_args)
print(format_sql("insert into mytable(x, y, z) values('%s', '%s', '%s')", ("Booboo's car", date.today(), 2)))