问题描述
我必须使用不符合 DBAPI 的库来与数据库交互(qds_sdk
用于 Qubole)。这个库只允许发送没有参数的原始 sql 查询。因此,我想要一种防 sql 注入的方法来将参数插入查询并在 Python 中获取生成的格式化查询。类似于下面示例中的 format_sql
函数:
sql = 'select * from table where id = ?'
formatted_sql = format_sql(sql,(123,)) # 'select * from table where id = 123'
这完全可能吗,还是太特定于 RDBMS?
解决方法
我对 Quoble 和它接受的 SQL 方言了解不多,而且您可能正在处理各种数据类型。但是在许多情况下,将参数转换为字符串,然后通过将它们加倍或在它们前面加上反斜杠来转义单引号字符(例如,MySQL 允许这两种方法),这可能是您能做的最好的事情。我会使用 %s
作为伪准备语句的占位符:
from datetime import date
def format_sql(query,args):
new_args = []
for arg in args:
new_args.append(str(arg).replace("'","''"))
return query.replace("%s","'%s'") % tuple(new_args)
print(format_sql("insert into mytable(x,y,z) values(%s,%s,%s)",("Booboo's car",date.today(),2)))
打印:
insert into mytable(x,z) values('Booboo''s car','2021-01-04','2')
如果 %s
有可能出现在 SQL 中的某个上下文中而不是作为占位符,那么您需要将单引号放在那些实际占位符并且没有功能 {{1} } 执行该功能:
format_sql