Comment citer une valeur de chaîne de façon explicite (Python DB API/Psycopg2)

Pour certaines raisons, je souhaiterais faire un explicite, citant une chaîne de valeur (de devenir une partie de construit la requête SQL), au lieu d'attendre implicite devis effectué par cursor.execute méthode que sur le contenu de son deuxième paramètre.

Par "implicite citation" je veux dire:

value = "Unsafe string"
query = "SELECT * FROM some_table WHERE some_char_field = %s;"
cursor.execute( query, (value,) ) # value will be correctly quoted

Je préfère quelque chose comme ça:

value = "Unsafe string"
query = "SELECT * FROM some_table WHERE some_char_field = %s;" % \
    READY_TO_USE_QUOTING_FUNCTION(value)
cursor.execute( query ) # value will be correctly quoted, too

Est si bas niveau READY_TO_USE_QUOTING_FUNCTION prévu par Python DB spécification de l'API (je ne pouvais pas trouver une telle fonctionnalité dans PEP 249 document). Si non, peut-être Psycopg2 fournit une telle fonction? Si non, peut-être que Django fournit une telle fonction? Je préfère ne pas écrire une telle fonction de moi-même...

  • Je vous suggère de chercher dans SQLAlchemy du générateur SQL API, même si vous n'êtes pas intéressé par l'ORM composants; cela vous permettra de lier les valeurs, tout en conservant la flexibilité.
  • Quelque chose comme db_cur.execute('''UPDATE test_table SET field_1="%s" WHERE field_2="%s"''' % (data, condition)) Note le triple des apostrophes et des guillemets autour de %s
InformationsquelleAutor Dariusz Walczak | 2008-11-21
  1. 30

    Ok, donc j'étais curieux et je suis allé regardé la source de psycopg2. S'avère que je n'ai pas eu à aller plus loin que le dossier exemples 🙂

    Et oui, c'est psycopg2 spécifiques. En gros, si vous voulez juste pour citer une chaîne de caractères, vous feriez ceci:

    from psycopg2.extensions import adapt

print adapt("Hello World'; DROP DATABASE World;")

    Mais ce que vous voulez probablement faire est d'écrire et d'enregistrer votre propre adaptateur;

    Dans le dossier exemples de psycopg2 vous trouverez le fichier 'myfirstrecipe.py', il est un exemple de la manière de voter, et de citer un type spécifique d'une manière spéciale.

    Si vous avez des objets pour les trucs que vous voulez faire, vous pouvez simplement créer un adaptateur qui est conforme à la " IPsycopgSQLQuote protocole (voir pydocs pour la myfirstrecipe.py-exemple...en fait c'est la seule référence que je peux trouver à ce nom) qui cite votre objet, puis l'enregistrer comme:

    from psycopg2.extensions import register_adapter

register_adapter(mytype, myadapter)

    Aussi, les autres exemples sont intéressants; esp. 'dialtone.py' et 'simple.py'.

    • Il semble que votre solution est ce que je cherchais. Si j'utilise l'adaptateur par défaut pour la citation de la chaîne de valeurs (pour l'utiliser en tant que constantes de chaîne) permet-elle d'éviter de m'contre les injections SQL? Il semble donc, mais peut-être que je manque quelque chose...
    • Je suis sûr que c'est l'intention....si cela fonctionne réellement je ne sais pas.
    InformationsquelleAutor Henrik Gustafsson
  2. 16

    Je suppose que vous êtes à la recherche pour le mogrify fonction.

    Exemple:

    >>> cur.mogrify("INSERT INTO test (num, data) VALUES (%s, %s)", (42, 'bar'))
"INSERT INTO test (num, data) VALUES (42, E'bar')"
    • C'est ce que j'ai été à la recherche de retour alors 🙂
    InformationsquelleAutor Beli
  3. 2

    Vous devriez essayer d'éviter de faire votre propre citant. Non seulement il sera DB spécifiques comme les gens l'ont souligné, mais les défauts en citant la source de bogues de l'injection SQL.

    Si vous ne voulez pas passer des requêtes et des valeurs séparément, puis de les transmettre autour d'une liste de paramètres:

    def make_my_query():
    # ...
    return sql, (value1, value2)

def do_it():
    query = make_my_query()
    cursor.execute(*query)

    (J'ai probablement la syntaxe de curseur.exécuter mal) Le point ici est que juste parce que le curseur.exécuter prend un certain nombre d'arguments, cela ne signifie pas que vous avez à les traiter séparément. Vous pouvez les traiter comme une seule liste.

    • Vous pouvez également passer comme dict: le curseur.execute( "SQL %(aparam)s, %(un autre)s, %(aparam)s", adict)
    • Encore, cela ne fonctionne pas dans tous les cas; c'est afaict impossible de faire ce travail quand faire multi-insertions de lignes et d'autres constructions similaires.
    • Quelle que soit la structure de la base de données des appels que vous devez faire, vous pouvez construire une abstraction pour contenir les données jusqu'à ce qu'il est temps de l'utiliser. Vouloir construire des requêtes de façon abstraite n'est pas une excuse pour le piratage de votre propre citant.
    • Certainement vrai, mais à un certain point, vous ne devez citer vos données, peu importe le nombre de couches d'abstraction de vous cacher sous, ainsi que les mécanismes prévus par exécuter/executemany ne peut pas soutenir toutes les utilisations de valeurs dans la base SQL.
    • Ok, donc c'est possible de le faire par exemple. sql = 'insert into les valeurs de x'+','.join(('(%s, %s)',) * len(valeurs)) et ainsi de suite, mais je n'ai pas une très bonne solution.
    • Je suis entièrement d'accord que je ne devrais pas écrire mon propre citant la fonction (c'est pourquoi j'ai posé la question). 🙂 J'ai pensé à retourner param valeurs d'une liste/dict en collaboration avec la chaîne SQL mais à mon humble avis c'est un bug enclin, en cas de plus d'un "SQL generator" (je générer des pièces de SQL, par exemple, des ensembles de OÙ les conds).

    InformationsquelleAutor Ned Batchelder
  4. 1

    Ce sera la base de données dépendantes (iirc, mysql permet \ comme un caractère d'échappement, tandis que quelque chose comme oracle attend citations d'être doublé: 'my '' quoted string').

    Quelqu'un me corrige si je me trompe, mais le double citant méthode est la méthode standard.

    Il peut être intéressant de regarder ce que les autres db abstraction de bibliothèques (sqlalchemy, cx_Oracle, sqlite, etc).

    J'ai demander - pourquoi voulez-vous inline les valeurs au lieu de les lier?

    • J'ai beaucoup de plutôt non trivial, les requêtes qui contiennent certains schémas répétitifs (par exemple, des ensembles de multiples, OÙ les conditions). J'ai défini quelques classes qui encapsulent les données nécessaires et SQL de génération de code. Il serait mal à l'aise de revenir séparément du code SQL et param séquence d'eux.
    • FWIW lorsque vous traitez avec des complexes de génération de requête, j'ai l'habitude de le faire passer de nouveau un paramétrer chaîne de requête et de séparer les param liste. Ce n'est pas vraiment mauvais.
    InformationsquelleAutor Richard Levasseur
  5. 1

    Je ne pense pas que vous donner suffisamment de raisonnement derrière votre évitement pour ce faire de La bonne Façon. S'il vous plaît, l'utilisation de l'APi qu'il est conçu et ne pas essayer si dur pour faire de votre code moins lisible pour le gars à côté, et de plus en plus fragile.

    • "...OÙ some_field EN (%s)" % ", ".join(...eh bien, quoi?..)
    • Ensuite, je ferais quelque chose comme "... OÙ some_field EN (%s)" % ",".join ("%s") et de générer la requête paramétrée. Je peut encore appliquer les valeurs de paramètre par la suite.
    InformationsquelleAutor
  6. 0

    Cela va être DB dépendante. Dans le cas de MySQLdb, par exemple, la connection classe a un literal méthode qui vous permet de convertir la valeur de la bonne échappé à la représentation pour le passage à MySQL (c'est ce que cursor.execute utilise).

    J'imagine Postgres a quelque chose de similaire, mais je ne pense pas qu'il existe une fonction pour échapper à valeurs dans le cadre de la DB API spec 2.0.

    InformationsquelleAutor davidavr
  7. 0

    Votre extrait de code serait juste comme ça, selon psycopg extension docs

    from psycopg2.extensions import adapt

value = "Unsafe string"
query = "SELECT * FROM some_table WHERE some_char_field = %s;" % \
    adapt(value).getquoted()
cursor.execute( query ) # value will be correctly quoted, too

    La getquoted fonction renvoie la value comme une cité et s'est échappé de la chaîne, de sorte que vous pouvez aussi aller: "SELECT * FROM some_table WHERE some_char_field = " + adapt(value).getquoted() .

    InformationsquelleAutor Roberto
  8. 0

    PyPika dans une autre bonne option pour la construction d'instructions SQL. Exemple d'utilisation (basé sur un exemple sur la page d'accueil du projet):

    >>> from pypika import Order, Query
>>> Query.from_('customers').select('id', 'fname', 'lname', 'phone').orderby('id', order=Order.desc)
SELECT "id","fname","lname","phone" FROM "customers" ORDER BY "id" DESC
    InformationsquelleAutor asherbar
  9. -1

    Si vous utilisez django, vous pourriez vouloir utiliser la citation d'une fonction qui est automatiquement adapté à la configuration actuelle de SGBD :

    from django.db import backend
my_quoted_variable = backend.DatabaseOperations().quote_name(myvar)
    • quote_name enferme chaîne de résultat avec des guillemets doubles. PostgreSQL (8.2.5) ne le permet pas en tant que chaîne de caractères délimiteurs (il semble qu'ils sont utilisés pour des identificateurs entre guillemets). À l'aide de la fonction fournie par django serait le mieux pour moi, malheureusement, je ne vois pas de fonction propre en db de la fpo.
    • On dirait que je suis complètement faux, quote_name est pour échapper à la table et les noms de colonne !
    InformationsquelleAutor vincent
  10. -2
    import re

def db_quote(s):
  return "\"" + re.escape(s) + "\""

    pouvez faire le travail de simple citant qui travaille au moins avec MySQL. Ce dont nous avons vraiment besoin est de curseur.fonction format() qui fonctionne comme curseur.execute (), sauf qu'elle serait de retour de la requête au lieu de l'exécuter. Il ya des moments où vous ne voulez pas que la requête à exécuter tout à fait encore - e.g vous pouvez connecter d'abord, ou l'imprimer pour le débogage avant d'aller de l'avant avec elle.

    • Fonctionne très bien avec mysql aussi longtemps que vous êtes fortement restreindre ce qui peut être passé en elle. Cette solution ici est très dangereux.
    • Pour le standard SQL '...' littéraux, ce qui est totalement faux. Pour postgresql non standard de la E'...' style de littéraux, qui est proche de chaînes C, c'est proche, mais toujours dangereux. Lors de la sérialisation/s'échapper, toujours utiliser des outils conçus pour la cible de syntaxe! Par exemple, il avait juridiques pour re.escape à utiliser [.] pour échapper à ., qui travaille dans les expressions régulières, mais totalement pas ce que vous voulez dans SQL.
    InformationsquelleAutor Sasha Pachev