Question

我已经定义了一个字典，其中包含多个参数及其值，这些参数及其值最终将用于构建SQL查询

query_params = collections.OrderedDict(
        {'table_name':'publilc.churn_data',
         'date_from':'201712',
         'date_to':'201805',
         'class_target':'NPA'
      })

该参数将在以下查询中使用：

sql_data_sample = str("""select * from %s # get value of table_name
                                    where dt = %s    #get value of date_from
                                    and target in ('ACTIVE')

                        ----------------------------------------------------
                        union all
                        ----------------------------------------------------
                        (select * from %s #get value of table_name
                                 where dt = %s #get value of date_to
                                 and target in (%s));""") #get value of class_target
                                    %("'"+.join(str(list(query_params.values())[0])) + "'" + 
                                    "'"+.join(list(query_params.values())[1]) + "'" + 
                                    "'"+.join(list(query_params.values())[2]) + "'" +
                                    "'"+.join(list(query_params.values())[3]) + "'" )

但这会给我一个缩进错误，如下所示：

get_ipython().run_line_magic('("\'"+.join(list(query_params.values())[0])', '+ "\'"')
    ^
IndentationError: unexpected indent

查询最终应该看起来像：

select *from public.churn_data
        where dt = '201712'
        and target in ('ACTIVE')

----------------------------------------------------
union all
----------------------------------------------------
 (select * from public.churn_data 
            where dt = '201805'
            and target in ('NPA'));

我无法确定错误的出处在哪里，是因为公众。在table_name中？有人可以帮我吗？

Answer 1

请使用the docs

中所述的参数化查询

既然已经有了字典，就可以这样做：

sql_data_sample = """select * from %(table_name)s
           where dt = %(date_from)s
           and target in ('ACTIVE')
           ----------------------------------------------------
           union all
           ----------------------------------------------------
           (select * from %(table_name)s
           where dt = %(date_to)s
           and target in (%(class_target)s));"""

cur.execute(sql_data_sample, query_params)

我还没有测试过是否可以使用颂辞，但是我认为应该这样做。如果没有，您可以在将有序dict作为参数映射传递之前将其作为常规dict。

编辑，除非以后需要将参数用作OrderedDict，否则请使用常规字典。据我所知，您只选择了OrderedDict来保留list(query_params.values())[0]的值顺序。

EDIT2 不能使用绑定传递表名和字段名。 AntoineDusséaux在this answer中指出，从2.7版开始，psycopg2提供了一种或多或少的安全方式。

from psycopg2 import sql

sql_data_sample = """select * from {0}
           where dt = %(date_from)s
           and target in ('ACTIVE')
           ----------------------------------------------------
           union all
           ----------------------------------------------------
           (select * from {0}
           where dt = %(date_to)s
           and target in (%(class_target)s));"""

cur.execute(sql.SQL(sql_data_sample)
                .format(sql.Identifier(query_params['table_name'])), 
            query_params)

您可能必须从字典中移除table_name，我不确定psycopg2对参数dict中其他项目的反应，我现在无法对其进行测试。

应该指出，这仍然构成SQL注入的风险，除非绝对必要，否则应避免。通常，表名和字段名是查询字符串中相当固定的部分。

这里是相关的documentation for the sqlmodule。

Answer 2

您可以使用以下代码消除缩进错误

sql_data_sample = str("""
select * from %s
where dt = %s
and target in ('ACTIVE')
----------------------------------------------------
union all
----------------------------------------------------
(select * from %s
where dt = %s
and target in (%s));""" %(
    "'" + str(list(query_params.values())[0]) + "'" +
    "'" + list(query_params.values())[1] + "'" +
    "'" + list(query_params.values())[2] + "'" +
    "'" + list(query_params.values())[3] + "'"
))

但是您需要再传递一个参数，因为您使用了％s 5次，但参数仅为4

使用字典将参数传递给python中的postgresql语句

2 个答案: