gpt4 book ai didi

Python cx_Oracle 更新

转载 作者:行者123 更新时间:2023-12-02 17:35:53 26 4
gpt4 key购买 nike

在我的 Python 代码中,当我要求用户输入一个字符串以进行 SELECT 时,它起作用了,但是当我尝试使用相同输入的 UPDATE 时,不允许我执行

这是连接成功后的代码

curs = connection.cursor()
str_input1 = str(input("Input : "))
str_input2 = str(input("Input : "))
statement = "UPDATE table SET variable1 = "+str_input1+" WHERE name = "+str_input2
curs.execute(statement)
connection.commit

理论上,下面的代码应该可以工作并更新变量,但我在 curs.execute(statement) 行收到错误消息

cx_Oracle.DatabaseError: ORA-00904: John: invalid identifier

John 是 where 子句的 str_input2

也许它的格式给我一个错误,但我不太确定。

有人能指出我的代码有什么问题吗?

最佳答案

错误是因为您没有引用这些值。您会从 SELECT 语句中得到完全相同的错误。

这些语句搜索 name 列与字符串 John 匹配的行:

SELECT * FROM table WHERE name = "John"
UPDATE table SET variable1 = "Hi" WHERE name = "John"

这些语句搜索 name 列与 John 列匹配的行——如果没有 John 列,那就是一个错误:

SELECT * FROM table WHERE name = John
UPDATE table SET variable1 = "Hi" WHERE name = John

因此,您可以通过在值周围加上引号来解决这个问题。

但你真的、真的、真的不应该。这为您打开了 SQL injection attacks ,以及您没有正确引用或转义特殊字符的愚蠢错误,以及数据库引擎无法告诉您一遍又一遍地运行相同查询的性能问题,等等。

你要做的是使用SQL parameters ,而不是尝试格式化字符串。我不记得 cx_Oracle 使用的是哪种参数样式,但你可以直接 import cx_Oracle; print(cx_Oracle.paramstyle),查一下in the table找出来。然后做类似的事情:

statement = "UPDATE table SET variable1 = :v WHERE name = :n"
curs.execute(statement, {'v': str_input1, 'n': str_input2})

此外,一些旁注:

  • connection.commit 什么都不做;您只是在引用 commit 方法,而不是调用它。您需要括号:connection.commit()
  • str(input()) 毫无意义。 input 函数总是返回一个字符串,因此没有理由对其调用 str。 (除非你使用的是 Python 2.x,在这种情况下你应该使用 raw_input(),它返回一个字符串,而不是使用 inputeval 字符串——引发与上述 SQL 注入(inject)攻击相同类型的安全问题——只是将其转换回字符串。)

关于Python cx_Oracle 更新,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26900256/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com