代码之家  ›  专栏  ›  技术社区  ›  Clauric

将用户值传递给WHERE子句

pymysql python
  •  2
  • Clauric  · 技术社区  · 6 年前

    我试图将两个用户输入值的组合传递到 WHERE

    我现在的密码是: 

    sign_input = input("Please enter <, =, > for population check ")
Pop_Lim = input("Please input a number for population parameter ")

Where_Limit = sign_input +" "+ Pop_Lim

conn = psq.connect("localhost","root","root","City",cursorclass=psq.cursors.DictCursor)

query = "SELECT * FROM city Where Population %s"

with conn:
    cursor = conn.cursor()
    cursor.execute(query, Where_Limit)
    city = cursor.fetchall()
    for row in city:
        print(row["ID"], row["Name"]," :   ",row["CountryCode"]," :   ",row["District"]," :   ",row["Population"])     # insert spacers for legibility purposes

    错误是说我认为Where_Limit变量有问题。

    关于如何解决这个问题或将符号和总体变量传递给 Where SQL命令中的函数?

    1 回复  |  直到 6 年前
        1
  •  2
  •   Solomon Ucko    6 年前

    如果允许的话,可能会有安全风险。首先,制造 当然 在服务器上 sign_input 是其中之一 < , = > . 那么 ,您可以使用字符串连接( query = "SELECT * FROM city Where Population " + sign_input + " %s" if / elif 声明: 

    if sign_input == '<':
    query = "SELECT * FROM city Where Population < %s"
elif sign_input == '=':
    query = "SELECT * FROM city Where Population = %s"
elif sign_input == '>':
    query = "SELECT * FROM city Where Population > %s"

    连接较短且重复性较低,但更容易确保 / 否则如果 有固定字符串的链是安全的。使用不同的法律价值观 符号输入 如果 / 链子。

    推荐文章
    akalanka  ·  PyMySQL游标中的类型错误
    7 年前
    user3802409  ·  异步函数中的PyMySql查询
    7 年前
    Hello.World  ·  将Python笔记本连接到MySQL数据库
    7 年前
    jurh  ·  PyMySQL:插入数据共享语句
    7 年前
    SteveJ  ·  通过Python读取MySQL有时会导致警告1292,似乎将秒数解释为大于60秒。
    7 年前
    user8846809  ·  从日期时间检索日期时出错。Python中的date对象
    7 年前
    nirvanagar  ·  MySQL-列计数与第1行的值计数不匹配-语法似乎正确
    7 年前
    daniel  ·  用python更新mysql json查询
    7 年前
    Nick Duddy  ·  PyMySQL错误:“str”对象没有属性“to\u sql”
    7 年前
    Samiksha Mishra  ·  MySQL和Python:Auto_Increment不使用游标。executemany()
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号