Das deutsche Python-Forum

Hallo,

ich habe eine Frage zur Verwendung des MySQLdb-Moduls. Ich würde gern dynamisch Werte in eine MySQL-Abfrage mit ".execute" einfügen.

tabelle = "Namen"
suchwort = "Heinz"

cursor.execute ("SELECT * FROM %s WHERE name LIKE %s", (tabelle, suchwort))

Wenn ich es so tue, wie angedeutet, werden sowohl "tabelle" als auch "suchwort" mit ' eingefasst, d.h. die erzeugte SQL-Abfrage lautet
"SELECT * FROM 'Namen' WHERE name LIKE 'Heinz'"

Diese Abfrage ist fehlerhaft, weil der Wert für FROM nicht in Hochkommata stehen darf. Weiss jemand eine Lösung für dieses Problem?

Die andere Sache wäre, dass ich immer ein % an den string "suchwort" anhängen will. Gibts einen Weg, dass in .execute zu machen oder sollte ich vorher den String ändern?

Viele Grüße,
Stephan

Schau dir mal [wiki]Parametrisierte SQL-Queries[/wiki]an.

Tabellennamen einsetzen wird von der DB-API nicht vorgesehen. Sowas ist auch i.d.R. sinnlos, da das nur zusätzliche Sicherheitslücken öffnet. Wäre ja noch besser, wenn Web-User in beliebige Tabellen schreiben könnten.

Gut, bei Tabellennamen ist's ja vielleich ok, aber was ist, wenn man dynamisch Spaltennamen einfügen möchte?
Das Ergebnis ist bei mir genau das gleiche.

Ich habe die Werte UND die Zielspaltennamen im Array(Tupel) und möchte die Updates so durchführen:

Code: Alles auswählen

sqvars = [(spaltenname, wert1, where1, where2),(...)]

cursor.executemany("UPDATE tabelle SET %s=%s WHERE spalte1=%s AND spalte2=%s",sqvars)

Kann man das irgendwie so hinbekommen, dass es doch möglich ist?

Wie wäre das:

Code: Alles auswählen

sqvars = [(wert1, where1, where2),(...)]

sql = "UPDATE tabelle SET %s=%%s WHERE spalte1=%%s AND spalte2=%%s" % spaltenname

cursor.executemany(sql, sqvars)

Der spaltenname sollte natürlich aus eine sicheren Quelle kommen

Das deutsche Python-Forum

Zeichen escapen in MySQLdb

Zeichen escapen in MySQLdb