Python拥有与数据库交互的各种库,这提供了一种构建SQL查询的好方法,而不必担心SQL注入。例如,使用sqlite3:
for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00),
('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00),
('2006-04-06', 'SELL', 'IBM', 500, 53.00),
]:
c.execute('insert into stocks values (?,?,?,?,?)', t)
问题是,我不想执行查询,我只想格式化它并将查询作为字符串。我想我可以自己逃避,但这不是一个非常优雅的解决方案。必须有一种方法来获取格式化的查询,而无需实际连接到数据库并运行它们。
(上下文是我正在编写一个过滤器,它从输入中准备一系列SQL语句,但我不想在特定数据库上运行它们,只是保存它们以供日后使用。)
答案 0 :(得分:5)
必须有一种方法来获取格式化的查询,而无需实际连接到数据库并运行它们
不是。
RDBMS在内部处理“准备好的查询”和“绑定变量”。 “格式化”实际上并不存在。任何地方。