问题描述
以下文档中的示例让我更加困惑:
https://www.rdocumentation.org/packages/RMySQL/versions/0.10.20/topics/dbEscapeStrings
https://cran.r-project.org/web/packages/RMySQL/RMySQL.pdf
示例说明:
tmp <- sprintf("SELECT * FROM emp WHERE lname = %s","O'Reilly")
dbEscapestrings(con,tmp)
据我所知,这会(并且确实)生成不正确的 sql:
select * from emp where lname = O'Reilly
tmp <- sprintf('SELECT * FROM emp WHERE lname = "%s"',"O'Reilly")
escaped_query <- dbEscapestrings(con,tmp)
tmp:select * from emp where lname = \"O'Reilly\"
转义查询:select * from emp where lname = \\\"O\\'Reilly\\\"
我相信我需要得到以下输出:select * from emp where lname = "O\'Reilly"
我是否想念理解某些东西?
解决方法
我强烈建议不要使用 sprintf
(或 paste
或 glue(.)
,尽管 glue_sql(.)
是合理的)。我的偏好是参数绑定。
dbGetQuery(con,"SELECT * FROM emp WHERE lname = ?",params = list("O'Reilly") )
更多背后的原因(无意的 SQL 注入)和修复方法(sqlInterpolate
、dbBind
)可以在这里找到:https://db.rstudio.com/best-practices/run-queries-safely/
顺便说一句,SQL 中的字符串文字通常用单引号而不是双引号表示,所以你应该看到类似
DBI::sqlInterpolate(con,"select * from abc where lname ?name",name="O'Reilly")
# <SQL> select * from abc where lname 'O''Reilly'