python - Python、MySQLdb 和转义表名？

Question

我可能遗漏了一些明显的东西，但我无法弄清楚我的代码与我在 MySQLdb 的在线文档中看到的各种示例有何不同。

我对python编程相当陌生，对perl更有经验。我想要做的是尽早养成某些好习惯（就像在 perl 中我总是从“使用严格；使用警告”开始），所以我试图确保我在一个独立的文件中创建可重用的函数（ funct.py) 以节省我以后的时间。

我有这个函数可以从表中选择随机行：

def returnRandom(conn,countcol,table,field):
    cursor = conn.cursor()
    cursor.execute('SELECT MAX(%s) FROM %s',(countcol,table))
    maxRow = cursor.fetchone()[0]
    cursor.execute("SELECT MIN(%s) FROM %s",(countcol,table))
    minRow = cursor.fetchone()[0]
    randomId = random.randrange(minRow,maxRow+1,1)
    cursor.execute("SELECT ? FROM ? WHERE id >=? LIMIT 1",field,table,randomId)
    return cursor.fetchone()[0]

它被这样称呼：

msg = funct.returnRandom(conn,"id","testtable","data")

不幸的是，它出错了：_mysql_exceptions.ProgrammingError: (1064，“您的 SQL 语法有错误；请查看与您的 MySQL 服务器版本相对应的手册，以获取在第 1 行的 ''testtable'' 附近使用的正确语法”）

如果我将 testtable 代替执行行上的 %s ，查询将运行，但看起来它运行

SELECT MAX('id') FROM testtable;

这当然会返回“id”。

鉴于这两者，它看起来像是在尝试执行它们时引用了 %s 条目。我想知道是否有人可以解释我如何让它停止这样做，或者我应该如何真正做我想要实现的目标？我希望函数尽可能通用，因此依赖于在调用时传递给它的数据。

编辑：我应该添加，如果我替换？分数：

....
    cursor.execute('SELECT MAX(?) FROM ?',(countcol,table))
File "/usr/lib/pymodules/python2.7/MySQLdb/cursors.py", line 151, in execute
    query = query % db.literal(args)
TypeError: not all arguments converted during string formatting

score 2 · Accepted Answer

您不能将 DB-API 用于元数据；您需要在execute()通话之外自行更换。

query = 'SELECT MAX(%%s) FROM `%s`' % (table,)
cursor.execute(query, (countcol,))

显然，如果table来自外部来源，您不应该这样做。

score 0 · Accepted Answer

MySQLdb 可能用单引号而不是反引号引用您的表名。尝试这个

cursor.execute('SELECT MAX(%%s) FROM `%s`' % table,(countcol))

score -1 · Accepted Answer

有趣的。但是在手册中有几个例子。也许是类似的东西。

c=db.cursor()
max_price=5
c.execute("""SELECT spam, eggs, sausage FROM breakfast
          WHERE price < %s""", (max_price,))

在这个例子中，max_price=5 那么为什么在字符串中使用 %s 呢？因为 MySQLdb 会将其转换为 SQL 文字值，即字符串 '5'。完成后，查询实际上会说“...WHERE price < 5”。

和

c.executemany(
      """INSERT INTO breakfast (name, spam, eggs, sausage, price)
      VALUES (%s, %s, %s, %s, %s)""",
      [
      ("Spam and Sausage Lover's Plate", 5, 1, 8, 7.95 ),
      ("Not So Much Spam Plate", 3, 2, 0, 3.95 ),
      ("Don't Wany ANY SPAM! Plate", 0, 4, 3, 5.95 )
      ] )

在这里，我们插入三行，每行五个值。请注意，尽管我们仍然只使用 %s，但有多种类型（字符串、整数、浮点数）。另请注意，我们仅包含一行的格式字符串。MySQLdb 挑选出来并为每一行复制它们。

python - Python、MySQLdb 和转义表名？

3 回答 3

Related

Reference