如何在Python cur.execute中的SQL查询中参数化表名？

问题描述

jobs.gen_pk
jobs.gen_ind
jobs.gen_af

我有一个运行查询的Python代码

cur.execute(f"SELECT max(batch_id) FROM jobs.gen_pk")

我需要参数化pk部分，就像从其他表中读取一样使用configParser

cur.execute(f"SELECT max(batch_id) FROM jobs.gen_(parametrize this)")

这是我现在拥有的代码显然，SQL查询无法正常工作。

import configparser
import psycopg2
parser = configparser.ConfigParser()
base_path = os.path.dirname(os.path.realpath(__file__))
parser.read(os.path.join(base_path,'FileConfig.cfg'))
dbname = parser.get('file_config','dbname')
host = parser.get('file_config','host')
port = parser.get('file_config','port')
user = parser.get('file_config','user')
location = parser.get('file_config','location') #pk,ind,af

cur.execute(f"SELECT max(batch_id) FROM jobs.gen_(location)")

解决方法

您似乎只是想要：

cur.execute("SELECT max(batch_id) FROM jobs.gen_" + location)

请注意，此类构造为SQL注入打开了代码。如果为location提供了恶意字符串，则可能会发生不良情况。如果该值来自代码之外，那么您应该在运行查询之前正确验证它（例如，通过对照固定的允许值列表进行检查）。

configparser psycopg2 python python-3.x sql sql

如何在Python cur.execute中的SQL查询中参数化表名？

问题描述

解决方法

相关问答