我想知道你是否可以帮助我。如果文本与相应的关键字匹配,我试图更改每列中的值。这是循环:
for i in range(0, 20, 1):
cur.execute("UPDATE table SET %s = 1 WHERE text rlike %s") %(column_names[i], search_terms[i])
MySQL命令本身可以正常工作,但是当我把它放在循环中时却没有。它在第一个%s
有没有人有任何见解?
这是错误:
_mysql_exceptions.ProgrammingError: (1064, "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%s = 1 WHERE text rlike %s' at line 1")
列名称类似于
column_names = ["col1","col2","col3"...]
搜索字词看起来像
search_terms = ["'(^| |.|-)word1[;:,. ?-]'","'(^| |.|-)word2[;:,. ?-]'",...]
答案 0 :(得分:1)
缺少引号和错误的括号位置......
for i in range(0, 20, 1):
cur.execute("UPDATE table SET %s = 1 WHERE text rlike '%s'" %(column_names[i], search_terms[i]))
# ^ ^
# (-----------------------------------------------------------------------------------)
请注意, 这是正确的方法,如果您的字符串可能包含引号...
相反如此:
for i in range(0, 20, 1):
cur.execute("UPDATE table SET %s = 1 WHERE text rlike ?" % (column_names[i],),
(search_terms[i],))
这使用%
运算符来设置列名,但使用executes
参数绑定数据,让DB驱动程序转义所有需要的字符。
答案 1 :(得分:1)
执行此操作的正确方法是为Python提供值,这将引用正确的内容。
改编自旅行者的post:
for i in range(0, 20, 1):
cur.execute("UPDATE table SET {} = 1 WHERE text rlike %s".format(column_names[i]),
(search_terms[i],),
)
在这种情况下,它会让人感到困惑,因为column_name
不是一个值,它是表结构的一部分,所以它是使用良好的旧字符串格式插入的。 search_term
是一个值,因此传递给cursor.execute()
以获得正确,安全的引用。
(不要使用字符串操作来添加引号 - 您将自己暴露给SQL注入。)