MySQL cur.execute с форматом
Я не совсем понимаю, как использовать .format для оператора SQL в моем случае.
Могу ли я использовать его для определения имени столбца?
Он работает с одним значением, но не с целыми кортежами.
sql_stmt = ("""UPDATE intmt_vals SET {0} = {1} WHERE ID = {2};""".format(column, values, ids))
cur.execute(sql_stmt)
column - это ключ от внешнего словаря column = k, например 'column1'
values - это значения из внутреннего dict, vals = tuple(dict.get(k).values()), например. (a, b, c, d, e, f,)
ids - это ключи от внутреннего dict, например ids = tuple(dict.get.(k).keys()).e.g
(1,2,3,4,5,6)
Ошибка
mysql.connector.errors.DataError: 1241 (21000): Operand should contain 1 column(s).
Ответы 1
Да, можно, и это легко сделать. Но вы должны использовать format только для установки имени столбца. Причина: Параметризованные запросы MySQL. И почему у вас есть Operand should contain 1 column(s), ваш оператор sql имеет только один столбец, но несколько значений, например column1 = (a, b, c, d, e, f).
sql = "UPDATE test SET {col} = %s WHERE {col} = %s;"
data = {"a":"b","c":"d"}
print(data.items())
try:
cur.executemany(sql.format(col = "msg"),data.items())
con.commit()
except Exception as e:
con.rollback()
raise e
Но это утверждение прекрасно в синтаксисе Python. потому что ваш последний sql_stmt будет "UPDATE intmt_vals SET col1 = %s WHERE col2 =%s". И это безопасно, если другие не могут контролировать значение col.
Другими словами, попробуйте этот код a = "This is: {}".format("ad") print(a.format("bcde")). После того, как вы использовали format для строки, значение строки будет изменено и {} будет потрачен.
Ага, понял. Финальный sql = "UPDATE test SET {0} = %s WHERE {1} = %s;".format(col1,col2). То есть нет возможности SQL-инъекции даже с format?
Нет, если другой может изменить ваше значение col1 или col2. Потому что format напрямую вставляет данные в строку. Но это легко решить, используя регулярное выражение для проверки допустимости значения col.
Мой первый и второй комментарий - объяснить, что ваш последний sql_statement не будет содержать {}, поэтому вам не нужно беспокоиться о предупреждениях IntelliJ.
sql = "UPDATE intmt_vals SET {col1} = %s WHERE {col2} =%s". ожидалось выражение получилось { Странно, вот что про IntelliJ предупреждает.