代码之家 › 专栏 › 技术社区 › Clauric

将用户值传递给WHERE子句

pymysql python

Clauric · 技术社区 · 5 年前

我试图将两个用户输入值的组合传递到 WHERE

我现在的密码是:

sign_input = input("Please enter <, =, > for population check ")
Pop_Lim = input("Please input a number for population parameter ")

Where_Limit = sign_input +" "+ Pop_Lim

conn = psq.connect("localhost","root","root","City",cursorclass=psq.cursors.DictCursor)

query = "SELECT * FROM city Where Population %s"

with conn:
    cursor = conn.cursor()
    cursor.execute(query, Where_Limit)
    city = cursor.fetchall()
    for row in city:
        print(row["ID"], row["Name"]," :   ",row["CountryCode"]," :   ",row["District"]," :   ",row["Population"])     # insert spacers for legibility purposes

错误是说我认为Where_Limit变量有问题。

关于如何解决这个问题或将符号和总体变量传递给 Where SQL命令中的函数?

1 回复 | 直到 5 年前

Solomon Ucko 5 年前

如果允许的话,可能会有安全风险。首先,制造当然 在服务器上 sign_input 是其中之一 < , = > . 那么 ,您可以使用字符串连接( query = "SELECT * FROM city Where Population " + sign_input + " %s" if / elif 声明:

if sign_input == '<':
    query = "SELECT * FROM city Where Population < %s"
elif sign_input == '=':
    query = "SELECT * FROM city Where Population = %s"
elif sign_input == '>':
    query = "SELECT * FROM city Where Population > %s"

连接较短且重复性较低,但更容易确保 / 否则如果 有固定字符串的链是安全的。使用不同的法律价值观 符号输入 与 如果 / 链子。

推荐文章

akalanka · PyMySQL游标中的类型错误

6 年前

user3802409 · 异步函数中的PyMySql查询

6 年前

Hello.World · 将Python笔记本连接到MySQL数据库

7 年前

jurh · PyMySQL:插入数据共享语句

7 年前

SteveJ · 通过Python读取MySQL有时会导致警告1292,似乎将秒数解释为大于60秒。

7 年前

user8846809 · 从日期时间检索日期时出错。Python中的date对象

7 年前

nirvanagar · MySQL-列计数与第1行的值计数不匹配-语法似乎正确

7 年前

daniel · 用python更新mysql json查询

7 年前

Nick Duddy · PyMySQL错误:“str”对象没有属性“to\u sql”

7 年前

Samiksha Mishra · MySQL和Python:Auto_Increment不使用游标。executemany()

7 年前