带引号的 Python 和 MySQL 查询

Question

使用 Python3 中的脚本，从文件中提取一些字符串后，它们应该用作要插入到 MySQL 数据库中的数据，如下所示:

query1 = """INSERT INTO {:s} VALUES ({:s}, {:s}, {:s}, {:s});""".format(table1,"""0""",string1,string2,string3)
cursor1.execute(query1)

一些字符串包含不同且令人不快的引号，例如:

a "'double quoted'" example string

如果我用三引号定界符定义一些示例字符串

string1 = """a "'double quoted'" example string"""

以上查询成功。相反，如果字符串在解析外部文件后由函数返回，则查询会生成错误:

_mysql_exceptions.ProgrammingError: (1064, 'You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near \'first string, "\'Quoted part\'" of second string, , Third string\' at line 1')

我也试过:

query1 = """INSERT INTO {:s} VALUES ('{:s}', '{:s}', '{:s}', '{:s}');""".format(table1,"""0""",string1,string2,string3)

但产生了同样的错误。

还有

query1 = """INSERT INTO %s VALUES (%s, %s, %s, %s);"""
data1 = ("""table1"""","""0""",string1,string2,string3)
cursor1.execute(query1,data1)

和

query1 = """INSERT INTO %s VALUES ('%s', '%s', '%s', '%s');"""
data1 = ("""table1"""","""0""",string1,string2,string3)
cursor1.execute(query1,data1)

生成相同的错误。

如何解决这个问题？也许，一旦函数返回了字符串，是否可以用三重引号重新定义它们？

Answer 1

这是向语句添加参数的方式。

sql = "INSERT INTO my_table VALUES (%s, %s, %s);"

cursor.execute(sql, [string1, string2, string3])

参见 MySQLCursor.execute() .

在此示例中，您不必显式引用这些值，因为您没有将它们粘合到您的 SQL 中。此外，这更安全，因为如果字符串包含结束引号和一些恶意 SQL，它不会被执行。

您不能将表名添加为参数，因此如果它在变量中，您将必须将其粘贴到您的 SQL 中:

sql = "INSERT INTO {} VALUES (%s, %s, %s);".format(table_name)