Вставка переменной в качестве значения SQL в питона

exp = "Ted is a good film" 
cursor.execute ("insert into films (descp) values (exp)") 
cursor.commit()

Я использую выше кода с сервера MS SQL, но он говорит: Invalid столбец name'exp» я использую pyodbc.Вставка переменной в качестве значения SQL в питона

источник

2013-04-22 Mahdi

FWIW, любое из решений будет работать, но (в настоящее время) Xbb является единственный, который не является потенциально уязвимым для SQL-инъекции. – Aya

@ Ая, почему вы думаете, что я использую это для SQL-инъекции? – Mahdi

Вам необходимо ввести содержимое exp в выражение вставки как строку. Вы можете использовать string format и ' «:

exp = "Ted is a good film" 
cursor.execute ("insert into films (descp) values ('{exp}')".format(exp=exp)) 
cursor.commit()

источник

2013-04-22 15:35:54 emigue

После попытки сказать: заявление было прекращено. – Mahdi

Как насчет 'exp =" anything '); drop table films; - "'? – eumiro

cursor.execute ("insert into films (descp) values (?)",exp)

источник

2013-04-22 15:38:30 xbb

Мое решение работает, но xbb является более правильным решением. [Документация] (https://code.google.com/p/pyodbc/wiki/Cursor#execute) – emigue

Ваше решение сработало, но оно говорит: заявление завершено – Mahdi

Я думаю, что вы должны передать его в виде кортежа:

cursor.execute ("insert into films (descp) values (?)", (exp,))

источник

2013-04-22 15:45:45 eumiro

Вставка переменной в качестве значения SQL в питона

ответ

Смежные вопросы