在python中传递元组到MySQLdb的问题

Question

我有一些sql查询通过python mysqldb工作到我的mysql数据库，但是我想让它们少一些sql注入漏洞，所以小的bobby表不会尝试添加数据。 。

例如：

ORIGINAL：
（这工作，所以ListID等肯定是有效的）

sql="SELECT NAME FROM ListsTable WHERE ID=%s"%(ListID) 
c.execute(sql) 

sql="SELECT NAME FROM ListsTable WHERE ID=%s" 
c.execute(sql,(ListID,)) 

WORKS：10元组试图

sql="SELECT NAME FROM ListsTable WHERE ID=%s" 
c.execute(sql, ListID) 

我不知道为什么第2次尝试不作为一个元组工作，但接受它作为一个参数，但无论哪种另一个说法的方式，我需要传递多个参数，所以这不会为工作：

ORIGINAL：

sql="SELECT * FROM ListsTable ORDER BY ID DESC LIMIT %s,%s"%(Page, (Page*20)+20) 
c.execute(sql) 

它的工作原理，但随后如果我尝试发送参数作为一个元组这不，又说：

sql="SELECT * FROM ListsTable ORDER BY ID DESC LIMIT %s,%s" 
var1=Page 
var2=(Page*20)+20 
params=(var1,var2)    
c.execute(sql,params) 

甚至只是

​​

我最近得到这个错误在我的网络服务器日志上，但请注意，这可能是一个重新尝试，因为我一直在尝试的许多不同的东西，因为它以前没有错误：（错误指的是传递“params”变量的上述尝试）

File "process.py", line 98, in main 
c.execute(sql,params) 
File "/var/www/cgi-bin/MySQLdb/cursors.py", line 159, in execute 
query = query % db.literal(args) 
TypeError: not enough arguments for format string 

编辑：万一它有帮助，我使用mysqldb版本1.2.3，万一它不接受在该版本的元组，但不要让我开始如何垃圾mysqldb文档是..

Answer 1

我无法复制这与MySQLdb。我正在使用1.2.2 final。 也许尝试一个简单的调试，以确保问题出在哪里，你都表示：

In [13]: cur.execute('select %s + %s', (1,2)) 
Out[13]: 1L 

In [14]: cur.fetchall() 
Out[14]: ((3L,),) 

更新1：所以我抓住并安装1.2.3决赛，这是我的成绩单：

In [1]: import MySQLdb 
In [2]: MySQLdb.version_info 
Out[2]: (1, 2, 3, 'final', 0) 
In [3]: con = MySQLdb.connect(user='root', db='inventory') 
In [4]: cur = con.cursor() 
In [5]: cur.execute('select %s + %s', (1,2)) 
Out[5]: 1L 
In [6]: cur.fetchall() 
Out[6]: ((3L,),) 

如果只有我能复制你的问题，那么也许我能够提供一个解决方案！ 那么我们的两种环境还有什么不同呢？

$ mysql --version 
mysql Ver 14.14 Distrib 5.1.41, for debian-linux-gnu (x86_64) using readline 6.1 

更新2： 你或许可以打破下来比上面多一点。注意下面的代码片断从源为MySQLdb的-1.2.3：

139  def execute(self, query, args=None): 
... 
158   if args is not None: 
159    query = query % db.literal(args) 
160   try: 
161    r = self._query(query) 
162   except TypeError, m: 
163    if m.args[0] in ("not enough arguments for format string", 
164        "not all arguments converted"): 
165     self.messages.append((ProgrammingError, m.args[0])) 

线159是你ARGS转换/逃脱，然后插入到查询字符串。 因此，也许你可以做这样的事情：

In [24]: con.literal((1,2,)) 
Out[24]: ('1', '2') 

怎么看参数是由驱动程序转换，与您的查询字符串合并之前。

In [26]: "select %s + %s" % con.literal((1,2,)) 
Out[26]: 'select 1 + 2' 

Answer 2

您的mysqldb版本一定是问题所在。

http://mysql-python.hg.sourceforge.net/hgweb/mysql-python/MySQLdb-2.0/file/5a7c30cd9de2/MySQLdb/cursors.py#l180

改为：

1.51 -  if args is not None: 
1.52 -   query = query % self.connection.literal(args) 
1.53   try: 
1.54 +   if args is not None: 
1.55 +    query = query % tuple(map(self.connection.literal, args)) 

http://mysql-python.hg.sourceforge.net/hgweb/mysql-python/MySQLdb-2.0/diff/98d968f5af11/MySQLdb/cursors.py

这是后来改为：

1.144 -    query = query % tuple(map(self.connection.literal, args)) 
1.145 +    query = query % tuple((get_codec(a, self.encoders)(db, a) for a in args)) 

http://mysql-python.hg.sourceforge.net/hgweb/mysql-python/MySQLdb-2.0/diff/d9bb912776a5/MySQLdb/cursors.py#l1.144

Answer 3

在MySQLdb 1.2.3中，查询来自使用第一个参数作为模型字符串的字符串替换，第二个参数作为参数列表或单个参数通过了con.literal。 con.literal接受你提供的东西，并试图把它变成一个由MySQL正确解析的字符串。它为字符串添加了撇号。它输出不带引号的数字。或者，举个例子，如果你给它一个带撇号的字符串，它会引用撇号。

你的具体情况，MySQLdb的好像它会一直做了错误的事情，当你把它在它只有一个项目（con是任何开放连接）一个元组：

>>> con.literal((10,)) 
('10',) 
>>> 

这就是Python的希望能够创建一个元组中有一个单一的项目，但它导致MySQL BARF（向右滚动才能看到的barfness）：

mysql> select distinct sites.SiteCode, sites.SiteName, Latitude, Longitude, County, SourceID from sites, seriescatalog where sites.SiteID = seriescatalog.SiteID and sites.SiteID in (82,); 
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')' at line 1 
mysql> 

这是我的工作周围，以防止鲍比制表：

siteinfoquery = """select distinct sites.SiteCode, sites.SiteName, Latitude, Longitude, County, SourceID from sites, seriescatalog where sites.SiteID = seriescatalog.SiteID and sites.SiteID in (%s);""" 

cur.execute(siteinfoquery % ",".join([str(int(i)) for i in SiteID])) 

顺便说下，下面的方法不起作用，因为con.literal（在MySQLdb的execute（）函数中调用）引用结果字符串，将它从一个数字列表转换为一个字符串，然后变成一个单一值， “T匹配任何SITEID：

cur.execute(siteinfoquery , ",".join([str(int(i)) for i in SiteID])) 

>>> "(%s)" % con.literal(",".join([str(float(i)) for i in SiteID])) 
"('10.0,20.0')" 
>>> 

我还没有看，看看这是固定在以后的版本中的错误，当前的问题，是我不好，或者他们并不知晓的一个问题。

Answer 4

工作与非工作示例：

import MySQLdb as mysql 
from MySQLdb.constants import FIELD_TYPE 
In [9]: conn = mysql.connect(host=hostname, user=user_name, passwd=password, port=port_number, db=schema_name) 
In [10]: cursor = conn.cursor() 
In [11]: cursor.execute('select %s + %s', (1, 3)) 
Out[11]: 1L 

In [16]: conn = mysql.connect(host=hostname, user=user_name, passwd=password, port=port_number, db=schema_name, conv={FIELD_TYPE.LONG: long}) 
In [17]: cursor = conn.cursor() 
In [18]: cursor.execute('select %s + %s', (1, 3))--------------------------------------------------------------------------- 
TypeError         Traceback (most recent call last) 
<ipython-input-18-08423fe5373f> in <module>() 
----> 1 cursor.execute('select %s + %s', (1, 3)) 
/usr/lib64/python2.6/site-packages/MySQLdb/cursors.pyc in execute(self, query, args) 
    156    query = query.encode(charset) 
    157   if args is not None: 
--> 158    query = query % db.literal(args) 
    159   try: 
    160    r = self._query(query) 
TypeError: not enough arguments for format string 

的conv参数mysql.connect是我的问题。没有它，我的查询参数按预期解释。有了它，我就把头发撕掉了。