как безопасно сгенерировать оператор SQL LIKE с помощью python db-api

Я пытаюсь собрать следующий оператор SQL, используя db-api python:

SELECT x FROM myTable WHERE x LIKE 'BEGINNING_OF_STRING%';

где BEGINNING_OF_STRING должна быть переменной python, которая должна быть безопасно заполнена через DB-API. Я старался

beginningOfString = 'abc'

cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%', beginningOfString) 
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%%', beginningOfString)

У меня нет идей; как правильно это сделать?


python sql sql-like python-db-api
person laramichaels    schedule 19.01.2010    source источник

Ответы (3)


arrow_upward
21
arrow_downward

Лучше всего отделить параметры от sql, если можете. Затем вы можете позволить модулю db позаботиться о правильном цитировании параметров.

sql='SELECT x FROM myTable WHERE x LIKE %s'
args=[beginningOfString+'%']
cursor.execute(sql,args)
person unutbu    schedule 19.01.2010
comment
@~unutbu: спасибо, понял. Мне не приходило в голову просто добавить % к самой строке перед передачей ее в качестве аргумента через db-api. - person laramichaels; 20.01.2010

arrow_upward
3
arrow_downward

ИЗМЕНИТЬ:

Как заметили Брайан и Томас, намного лучший способ сделать это — использовать:

beginningOfString += '%'
cursor.execute("SELECT x FROM myTable WHERE x LIKE ?", (beginningOfString,) )

поскольку первый метод оставляет вас открытыми для атак SQL-инъекций.

Оставлено для истории:

Пытаться:

cursor.execute("SELECT x FROM myTable WHERE x LIKE '%s%%'" % beginningOfString)
person Sean Vieira    schedule 19.01.2010
comment
-1 "SELECT x FROM myTable WHERE x LIKE '%s%%'" % "doom' ; drop table x; select '" Ой? - person Brian; 20.01.2010
comment
@Брайан; очень правильный момент! Я сосредоточился на синтаксической ошибке; Я не должен был предполагать, что beginning были чистыми данными. Спасибо за улов! - person Sean Vieira; 20.01.2010
comment
-1 удалено. Однако у вас все еще есть синтаксическая ошибка. Используйте двойные кавычки для своей строки, и вам не нужно будет избегать одинарных кавычек. - person Brian; 20.01.2010
comment
Отредактировано, чтобы исправить синтаксическую ошибку и ошибку, на которую указал Томас. - person Sean Vieira; 20.01.2010

arrow_upward
-1
arrow_downward

Обратите внимание на документацию Sqlite3:

Обычно ваши операции SQL должны использовать значения из переменных Python. Вы не должны собирать свой запрос, используя строковые операции Python, потому что это небезопасно; это делает вашу программу уязвимой для атаки SQL-инъекцией.

Вместо этого используйте подстановку параметров DB-API. Помещать ? в качестве заполнителя везде, где вы хотите использовать значение, а затем укажите кортеж значений в качестве второго аргумента для метода execute() курсора. (Другие модули базы данных могут использовать другой заполнитель, например %s или :1.) Например:

# Never do this -- insecure!
symbol = 'IBM'
c.execute("... where symbol = '%s'" % symbol)

# Do this instead
t = (symbol,)
c.execute('select * from stocks where symbol=?', t)

# Larger example
for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00),
          ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00),
          ('2006-04-06', 'SELL', 'IBM', 500, 53.00),
         ]:
    c.execute('insert into stocks values (?,?,?,?,?)', t)

Я думаю, вы хотите этого:

cursor.execute('SELECT x FROM myTable WHERE x LIKE '%?%', (beginningOfString,) )
person Brian    schedule 19.01.2010
comment
@Томас: Почему? Кроме того факта, что я использовал '%?%' вместо '?%' (он не был полностью последователен в своем запросе, которого хотел), я не вижу проблемы. - person Brian; 20.01.2010
comment
Проблема в том, что? заменяется цитируемой версией фактического аргумента, который вы передаете. Таким образом, учитывая, например, ';DROP TABLE x;SELECT ' (обратите внимание на одинарные и двойные кавычки), вы получите явно неверный запрос: SELECT x FROM myTable WHERE x LIKE '%'; УДАЛИТЬ ТАБЛИЦУ x; ВЫБРАТЬ '%' - person Thomas Wouters; 20.01.2010
comment
Я не понимаю. Разве подстановка параметров DB-API не исправляет это? - person Brian; 20.01.2010