使用 pymssql 查询格式化
Query formatting using pymssql
我正在尝试使用带有 pymssql 的变量来检索 2.7 Python 中的数据库查询。我 运行 在尝试 运行 脚本时遇到语法错误。脚本如下:
school = 'Some School'
sql_statement = '''
SELECT TOP 10
a.Item_Name,
sum(a.Sales) 'Total_Spend'
FROM some_DB a
WHERE
a.School_Name = {}
GROUP BY a.Health_Rating, a.Item_Name
ORDER BY 2 DESC;
'''.format(school)
连接没有问题,所以我排除了那个代码。
只有当我尝试使用 .format() 方法添加变量时才会出错。对此的任何帮助将不胜感激。
干杯。
我找到了这个解决方案,如有必要,请随时纠正我。研究了一下,发现格式化操作符可以被SQL注入,并且不允许转义。从上一个问题中获得的信息 variables with python and sql
school = 'Some School'
sql_statement = '''
SELECT TOP 10
a.Item_Name,
sum(a.Sales) 'Total_Spend'
FROM some_DB a
WHERE
a.School_Name = (%s)
GROUP BY a.Health_Rating, a.Item_Name
ORDER BY 2 DESC;
'''
cursor.execute(sql_statement, school)
我正在尝试使用带有 pymssql 的变量来检索 2.7 Python 中的数据库查询。我 运行 在尝试 运行 脚本时遇到语法错误。脚本如下:
school = 'Some School'
sql_statement = '''
SELECT TOP 10
a.Item_Name,
sum(a.Sales) 'Total_Spend'
FROM some_DB a
WHERE
a.School_Name = {}
GROUP BY a.Health_Rating, a.Item_Name
ORDER BY 2 DESC;
'''.format(school)
连接没有问题,所以我排除了那个代码。
只有当我尝试使用 .format() 方法添加变量时才会出错。对此的任何帮助将不胜感激。
干杯。
我找到了这个解决方案,如有必要,请随时纠正我。研究了一下,发现格式化操作符可以被SQL注入,并且不允许转义。从上一个问题中获得的信息 variables with python and sql
school = 'Some School'
sql_statement = '''
SELECT TOP 10
a.Item_Name,
sum(a.Sales) 'Total_Spend'
FROM some_DB a
WHERE
a.School_Name = (%s)
GROUP BY a.Health_Rating, a.Item_Name
ORDER BY 2 DESC;
'''
cursor.execute(sql_statement, school)