Python équivalent de mysql_real_escape_string, pour obtenir des chaînes en toute sécurité dans MySQL?

Est-il un Python équivalent de PHP mysql_real_escape_string?

J'essaie d'insérer des chaînes de caractères dans une base MySQL directement à partir de Python, et continue de recevoir fauché par des guillemets dans les cordes.

mysql_string = "INSERT INTO candidate (name, address) VALUES  " 
for k, v in v_dict.iteritems():
    mysql_string += " ('" + v_dict['name'] + "', '" + v_dict['address'] + "'), "
mysql_string += ";"
cursor.execute(mysql_string)

J'ai essayé re.escape() mais qui échappe à tout caractère non alphanumérique dans les cordes, ce qui n'est pas ce dont j'ai besoin - j'ai juste besoin d'échapper les apostrophes dans cette instance (et plus généralement tout ce qui pourrait le voyage jusqu'à MySQL).

Pourrait le faire manuellement, je suppose, mais est-il une façon plus intelligente de le faire en Python?

source d'informationauteur AP257 | 2010-04-01

  1. 39

    Si vous utilisez mysql-python, juste essayer de

    MySQLdb.escape_string(SQL)

    Exemple

    >>> import MySQLdb
>>> MySQLdb.escape_string("'")
"\\'"
  2. 12
    cursor.executemany('INSERT INTO candidate (name, address) VALUES (%s, %s)',
                   [(v_dict['name'], v_dict['address'])] * len(v_dict))

    devrait faire ce que votre code s'affiche pour tenter -- insertion de la même des valeurs identiques N fois (vous êtes en boucle sur v_dict.iteritems() mais en ignorant complètement les variables de boucle, et au lieu simplement de réutiliser ces deux valeurs de v_dict à chaque fois). Bien sûr, si vous voulez dire quelque chose de complètement différent de la deuxième ligne devra être modifié en conséquence, mais l'idée essentielle de toute façon est d'utiliser des espaces réservés, pas de chaîne de formatage, pour de telles tâches.

  3. 7

    Est-il un Python équivalent de PHP mysql_real_escape_string?

    Oui, c'est escape_string sur la base de données connexion objet.

    Pas escape_string sur le MySQLdb module, ce qui est équivalent à mysql_escape_string en PHP, et a le même potentiel de vulnérabilité avec les jeux de caractères multioctets. Vous ne devriez pas utiliser MySQLdb.escape_string.

    Dans tous les cas, vous êtes beaucoup mieux d'utiliser de paramétrer des requêtes comme dans d'Alex réponse. Cela rend plus facile de port à d'autres bases de données (c'est une partie de la DB-API standard, qui escape_string ne l'est pas), et il est généralement plus commode. (Et beaucoup plus pratique que le paramétrage est en PHP.)

  4. 3

    Dans ce cas particulier, vous avez juste besoin d'utiliser executemany méthode du curseur.

    mysql_string = "INSERT INTO candidate (name, address) VALUES  (%s,%s);"
cursor.executemany(mysql_string, v_dict.iteritems())
  5. 2

    MySQLdb.escape_string est équivalent. Tout cela est décrit dans la documentation.

  6. 2

    à côté de MySQLdb.escape_string(SQL)pymysql bibliothèque python également fournir escape_string() fonction. 

    >>> import pymysql
>>> pymysql.escape_string("'")
"\\'"
>>>