Das deutsche Python-Forum

Seit 2002 Diskussionen rund um die Programmiersprache Python
https://www.python-forum.de/

variable in sql-Abfrage

https://www.python-forum.de/viewtopic.php?t=29696

Seite 1 von 1

variable in sql-Abfrage

Verfasst: Donnerstag 19. Juli 2012, 16:11
von puba
Hallo,
wie muss die Syntax in einer SQL-Anfrage richtig heissen, wenn ich eine Variable einbaue?

Code: Alles auswählen

 

.........
   ant = raw_input("Welche Automarke? ")
   print ant

   qry1 = "SELECT id, name, typ, price FROM cars WHERE name LIKE "
#   qry2 = "'%iat'"
   qry2 = "'ant'"

   cur.execute(qry1+qry2)

   for a in cur:
      print (a)
   con.commit()
Wenn ich für qry2 "'%fiat'" fest einsetze, funntionierts.
Wie muss die Variable "ant" in der qry2 eingebaut werden?

Re: variable in sql-Abfrage

Verfasst: Donnerstag 19. Juli 2012, 16:37
von BlackJack
@puba: Das hat erst einmal mit SQL nichts zu tun sondern wie man den einen Wert in eine Zeichenkette formatiert. Das sind Grundlagen zum Zeichenkettentyp. Arbeite dazu am besten mal das Tutorial in der Python-Dokumentation durch.

Wenn dann SQL mit ins Spiel kommt musst Du aufpassen das Du selbst keine Werte in SQL-Abfragen in Form von Zeichenketten hinein formatierst, sondern dass dem Datenbankmodul überlässt. Sonst können Anwender nämlich per SQL-Injection nahezu beliebigen Unsinn mit Deiner Datenbank anstellen. Zum Beispiel bei der Frage nach der Automarke ``'; DROP TABLE cars --`` eingeben und Dir damit die Tabelle löschen.

Um das zu verhindern setzt man im SQL Platzhalter für die Werte und gibt die beim `execute()`-Aufruf als zweites Argument an. Näheres in der Dokumentation des verwendeten DB-Moduls und dem PEP in dem die DB-API beschrieben wird.

Du solltest Dir das Abkürzen von Namen abgewöhnen.
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de