import MySQLdb
v = 'abc'
v = MySQLdb.escape_string(v)
sql = f"UPDATE tab SET a='{v}'"
print(sql)
以上代码输出:
UPDATE tab SET a='b'abc''
生成的 SQL 明显不对啊.请问正确的转义方法是什么呢?
1
hflyf123 2019-09-29 16:14:02 +08:00
>>> sql = "UPDATE tab SET a='{}'".format(v)
>>> sql "UPDATE tab SET a='abc'" |
2
silenceeeee OP @hflyf123 当变量 v 不可信,需要转义一下呢?
|
3
hflyf123 2019-09-29 16:32:48 +08:00
>>> import MySQLdb
>>> v = 'abc' >>> v = MySQLdb.escape_string(v) >>> sql = "UPDATE tab SET a='{}'".format(v) >>> sql "UPDATE tab SET a='abc'" 没区别啊..我就是照着你这来的,你说的转义不是 escape_string 这个方法吗 |
4
silenceeeee OP 为什么我执行你说的代码,输出的是: "UPDATE tab SET a='b'abc''",而不是:"UPDATE tab SET a='abc'"
|
5
welkinzh 2019-09-29 16:39:05 +08:00
你可以看看源码, 我记得
conn.execute(sql, (a, b)) 按照这种格式传入的变量 a,b 会被自动 escepe 的 |
6
silenceeeee OP @welkinzh 我是尝试写一个 MySQL 操作类,需要对 str 类型的变量进行转义.你说的这个方法确实可以,但是我想弄清楚,我这里的 MySQLdb.escape_string() 用法错在哪里.
|
7
1462326016 2019-10-06 19:30:28 +08:00
据我所知,format 会自动将二进制转换为字符串,而 f 的方式不会这样做,所以打印出来会带有 b'abc'前缀。可以试试将 escape_string 后的字符串 type 下看看是什么类型的,然后 decode 下就好了
|
8
l4ever 2019-10-08 15:51:40 +08:00
问题描述的写法没问题,我这边正常输出
``` UPDATE tab SET a='abc' ``` |
9
silenceeeee OP @l4ever 感谢回复.
我的 python 版本是 3,mysqlclient 版本是 1.4.4 . 这里的 MySQLdb.escape_string(v) 返回的类型是 byte 类型的,也就是 b'abc'.这里需要 b'abc'.decode('utf-8') 一下就可以了.刚开始写 python,不是很清楚细节,大概可以确定的是:我这里期望 MySQLdb.escape_string(v) 在 python3 中返回个一个 unicode 类型的字符串,而这里返回了 python 2中默认的 byte 类型字符串. |