当我有光标时,我知道我可以安全地执行查询,如下所示:
cur.execute("SELECT * FROM foo WHERE foo.bar = %s", (important_variable,))
有没有办法在不执行查询的情况下安全地获取字符串?例如,如果important_variable
是一个字符串,例如"foo 'bar' \"baz"
,我想要适当转义的字符串:
"SELECT * FROM foo WHERE foo.bar = "foo \'bar\' \"baz"
(或任何适当的逃避,我甚至不确定)。
我正在使用psycopg和sqlobject。
答案 0 :(得分:4)
查看游标的mogrify方法 - 它将在变量绑定后返回字符串并显示任何引用
cur.mogrify("SELECT * FROM foo WHERE foo.bar = %s", ("foo 'bar' \"baz",))
答案 1 :(得分:1)
您还没有告诉我们您使用的是哪个库或数据库,但我认为您的问题已在此处得到解答:How to quote a string value explicitly (Python DB API/Psycopg2)
答案 2 :(得分:0)
SQLObject处理转义/引用本身,但是如果要使用该功能:
from sqlobject.converters import sqlrepr
print(sqlrepr('SELECT * FROM foo WHERE foo.bar = "foo \'bar\' \"baz', 'postgres'))
结果:
'SELECT * FROM foo WHERE foo.bar = "foo ''bar'' "baz'