转义动态sqlite查询？

Question

我目前正在建立SQL查询取决于来自用户的输入。如何做到这一点的例子可以看这里：

def generate_conditions(table_name,nameValues): 
    sql = u"" 
    for field in nameValues: 
     sql += u" AND {0}.{1}='{2}'".format(table_name,field,nameValues[field]) 
    return sql 

search_query = u"SELECT * FROM Enheter e LEFT OUTER JOIN Handelser h ON e.Id == h.Enhet WHERE 1=1" 

if "Enhet" in args: 
    search_query += generate_conditions("e",args["Enhet"]) 
c.execute(search_query) 

由于SQL的每一次变化，我不能插在执行调用，这意味着我应该手动逃脱字符串值。但是，当我搜索每个点执行...

我也不是很满意我如何生成查询，所以如果有人有任何想法，另一种方式，这将是伟大的！

Answer 1

你有两个选择：

1. 切换到使用SQLAlchemy;它会使生成动态SQL更加pythonic 和确保正确的引用。

2. 由于您不能使用表名和列名的参数，因此您仍然必须使用字符串格式将这些参数包含在查询中。另一方面，您的值应始终使用SQL参数，如果只有这样数据库才可以编写语句。

   从用户输入直接插入表和列名是不可取的，它是远太容易以这种方式注入任意SQL语句。请根据您接受的此类名称的列表验证表名和列名。

   因此，要建立在你的榜样，我会往这个方向：

   tables = { 
       'e': ('unit1', 'unit2', ...), # tablename: tuple of column names 
   } 
   
   def generate_conditions(table_name, nameValues): 
       if table_name not in tables: 
        raise ValueError('No such table %r' % table_name) 
       sql = u"" 
       params = [] 
       for field in nameValues: 
        if field not in tables[table_name]: 
         raise ValueError('No such column %r' % field) 
        sql += u" AND {0}.{1}=?".format(table_name, field) 
        params.append(nameValues[field]) 
       return sql, params 
   
   search_query = u"SELECT * FROM Enheter e LEFT OUTER JOIN Handelser h ON e.Id == h.Enhet WHERE 1=1" 
   
   search_params = [] 
   if "Enhet" in args: 
       sql, params = generate_conditions("e",args["Enhet"]) 
       search_query += sql 
       search_params.extend(params) 
   c.execute(search_query, search_params)