python - SQLite/Python 数据库检索和比较

Question

目前，我有一个包含用户名、密码等的数据库。我希望查看数据库以检查其中是否存在重复项。

con = lite.connect('userInfo.db')
with con:
    cur = con.cursor()
    cur.execute("SELECT * FROM Users WHERE LOWER(Username) = LOWER(?)", (newID,))
    rows = cur.fetchall()
    if len(rows)!=0:
        return "Duplicate detected"

这是我目前的代码。 newID 是一个新名称，我想检查数据库中是否有同名的现有条目。

我的问题是 - 我在我的代码中这样做的方式是个好主意吗？我主要关心我的方法。我应该使用 fetchall() 以外的东西吗？

感谢您的宝贵时间! :)附言这是一个网站应用程序。

Answer 1

这里有一种方法可以完全按照您的要求进行操作 - 查明给定的 username 是否已经存在:

import sqlite3
conn = sqlite3.connect(":memory:")
conn.execute ("""
              CREATE TABLE users (
                  uid INTEGER PRIMARY KEY AUTOINCREMENT,
                  username TEXT UNIQUE,
                  email TEXT UNIQUE );
             """)

test_users = (
    {'username':"Alice",    'email':"Alice@mail.com"},
    {'username':"Billy",    'email':"Billy@mail.com"},
    {'username':"Charles",  'email':"Charles@mail.com"},
    {'username':"Dick",     'email':"Dick@mail.com"},
    {'username':"Emily",    'email':"Emily@mail.com"},
    {'username':"Faramir",  'email':"Faramir@mail.com"},
)

for user in test_users:
    conn.execute("INSERT INTO users (username, email) VALUES (?,?)",
                 (user['username'],user['email'])
                )

result = conn.execute("SELECT COUNT(*) FROM users WHERE username='Alice'")
number_of_Alices = result.next()[0] # number_of_Alices will be 1

因为您只需要 COUNT 就足够了。

---

不过，实际上，您不应该自己强制用户名的唯一性。通过将字段指定为 UNIQUE 或 PRIMARY KEY，让数据库为您执行此操作。

如果你在像上面那样创建数据库后尝试插入 "Alice", "alice@wonderland.com"，这将得到一个 sqlite3.IntegrityError:

>>> conn.execute("""INSERT INTO users (username, email)
...                     VALUES ("Alice", "alice@wonderland.com");""")
Traceback (most recent call last):
  File "<stdin>", line 2, in <module>
sqlite3.IntegrityError: column username is not unique

要检测到这一点，请尝试运行 INSERT 并检测它是否失败。

try:
    conn.execute("""INSERT INTO users (username, email)
                    VALUES ("Alice", "alice@wonderland.com");""")
except sqlite3.IntegrityError:
    print ("Username 'Alice' was already taken.")

顺便说一句，使用大写/小写函数时要非常小心。 "Главное в новостях".lower() 是否如您所想？

---

既然你提到这是一个网络应用程序，我只是提醒你将密码存储为 salted hashes of the password, using unique salts for each user (永远不要作为纯文本!)，并通过使用 SQL 查询的 (?,?,?,?,...) 占位符来防止 SQL 注入(inject)，而不是 (%s ,%s) % (var1, var2) 字符串插值法。

引用sqlite3 documentation :

Usually your SQL operations will need to use values from Python variables. You shouldn’t assemble your query using Python’s string operations because doing so is insecure; it makes your program vulnerable to an SQL injection attack.

Instead, use the DB-API’s parameter substitution. Put ? as a placeholder wherever you want to use a value, and then provide a tuple of values as the second argument to the cursor’s execute() method. (Other database modules may use a different placeholder, such as %s or :1.) For example:

如果您不这样做，那么其他人可能会请求用户名 Robert Menzies； DROP TABLE 用户； 为 hilarious results .