Как безопасно генерировать инструкцию SQL LIKE с помощью python db-api

Ответ 1

Лучше всего отделить параметры от sql, если сможете. Затем вы можете позволить модулю db заботиться о правильном цитировании параметров.

sql='SELECT x FROM myTable WHERE x LIKE %s'
args=[beginningOfString+'%']
cursor.execute(sql,args)

Ответ 2

EDIT:

Как отметил Брайан и Томас, лучший способ сделать гораздо лучше:

beginningOfString += '%'
cursor.execute("SELECT x FROM myTable WHERE x LIKE ?", (beginningOfString,) )

так как первый метод позволяет вам открывать атаки SQL-инъекций.

Слева за историей:

Попробуйте:

cursor.execute("SELECT x FROM myTable WHERE x LIKE '%s%%'" % beginningOfString)

Ответ 3

Обратите внимание на Sqlite3 документация:

Обычно вам нужны операции SQL для использования значений из переменных Python. Вы не должны собирать свой запрос использование строковых операций Pythons потому что это небезопасно; это делает ваша программа уязвима для SQL инъекции.

Вместо этого используйте параметр DB-APIs замена. Положил? как заполнитель где вы хотите использовать значение, и затем укажите кортеж значений как второй аргумент для курсоров execute(). (Другая база данных модули могут использовать разные заполнитель, например% s или: 1.) Для Пример:

# Never do this -- insecure!
symbol = 'IBM'
c.execute("... where symbol = '%s'" % symbol)

# Do this instead
t = (symbol,)
c.execute('select * from stocks where symbol=?', t)

# Larger example
for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00),
          ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00),
          ('2006-04-06', 'SELL', 'IBM', 500, 53.00),
         ]:
    c.execute('insert into stocks values (?,?,?,?,?)', t)

Я думаю, вы этого хотите:

cursor.execute('SELECT x FROM myTable WHERE x LIKE '%?%', (beginningOfString,) )