web-dev-qa-db-ja.com

MySQLパラメーター化クエリ

MySQLdbモジュールを使用してデータベースに情報を挿入するのに苦労しています。テーブルに6つの変数を挿入する必要があります。

cursor.execute ("""
    INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)
    VALUES
        (var1, var2, var3, var4, var5, var6)

""")

誰かがここで構文を手伝ってくれますか?

74
Specto

入力パラメータを正しくエスケープせず、アプリケーションをSQLインジェクションの脆弱性にさらすことになるため、SQLクエリに文字列補間を使用することに注意してください。 違いは些細なように見えるかもしれませんが、実際にはそれは巨大です

不正解(セキュリティの問題)

c.execute("SELECT * FROM foo WHERE bar = %s AND baz = %s" % (param1, param2))

正解(エスケープ付き)

c.execute("SELECT * FROM foo WHERE bar = %s AND baz = %s", (param1, param2))

SQLステートメントのパラメーターをバインドするために使用される修飾子がDB APIの実装ごとに異なること、mysqlクライアントライブラリがより一般的に受け入れられている「?」の代わりにprintfスタイルの構文を使用するという混乱を追加しますマーカー(例:python-sqlite)。

235
Emil H

利用可能なオプションがいくつかあります。 Pythonの文字列の反復に慣れる必要があります。これは、将来このようなことを知りたいときに、より多くの成功を収めることができる用語です。

クエリに適しています:

some_dictionary_with_the_data = {
    'name': 'awesome song',
    'artist': 'some band',
    etc...
}
cursor.execute ("""
            INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)
            VALUES
                (%(name)s, %(artist)s, %(album)s, %(genre)s, %(length)s, %(location)s)

        """, some_dictionary_with_the_data)

おそらくすべてのデータがすでにオブジェクトまたは辞書にあることを考慮すると、2番目の形式の方が適しています。また、1年以内に戻ってこのメソッドを更新する必要がある場合、文字列内の「%s」の出現回数をカウントする必要があるのは残念です。

41
Trey Stout

リンクされたドキュメントには、次の例があります。

   cursor.execute ("""
         UPDATE animal SET name = %s
         WHERE name = %s
       """, ("snake", "turtle"))
   print "Number of rows updated: %d" % cursor.rowcount

したがって、これを独自のコードに適応させる必要があります-例:

cursor.execute ("""
            INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)
            VALUES
                (%s, %s, %s, %s, %s, %s)

        """, (var1, var2, var3, var4, var5, var6))

(SongLengthが数値の場合、%sではなく%dを使用する必要がある場合があります)。

14
Marcel Guzman

選択した答えの代替として、Marcelと同じ安全なセマンティクスを使用して、Python辞書を使用して値を指定するコンパクトな方法があります。変更が簡単であるという利点があります挿入する列を追加または削除するとき:

  meta_cols=('SongName','SongArtist','SongAlbum','SongGenre')
  insert='insert into Songs ({0}) values ({1})'.
        .format(','.join(meta_cols), ','.join( ['%s']*len(meta_cols) ))
  args = [ meta[i] for i in meta_cols ]
  cursor=db.cursor()
  cursor.execute(insert,args)
  db.commit()

metaは、挿入する値を保持する辞書です。更新も同じ方法で実行できます。

  meta_cols=('SongName','SongArtist','SongAlbum','SongGenre')
  update='update Songs set {0} where id=%s'.
        .format(','.join([ '{0}=%s'.format(c) for c in meta_cols ]))
  args = [ meta[i] for i in meta_cols ]
  args.append( songid )
  cursor=db.cursor()
  cursor.execute(update,args)
  db.commit()
5
FDS

実際、変数(SongLength)が数値であっても、パラメーターを正しくバインドするには、%sでフォーマットする必要があります。 %dを使用しようとすると、エラーが発生します。このリンクからの小さな抜粋を次に示します http://mysql-python.sourceforge.net/MySQLdb.html

クエリを実行するには、最初にカーソルが必要です。次にカーソルでクエリを実行できます。

c=db.cursor()
max_price=5
c.execute("""SELECT spam, eggs, sausage FROM breakfast
          WHERE price < %s""", (max_price,))

この例では、max_price = 5なぜ、文字列で%sを使用するのですか? MySQLdbはこれをSQLリテラル値(文字列「5」)に変換するためです。完了すると、クエリは実際に「... WHERE price <5」と表示します。

5
daSong

最初の解決策はうまく機能します。ここに小さな詳細を1つ追加します。置換/更新しようとしている変数がstr型である必要があります。 mysqlタイプは10進数ですが、クエリを実行するにはstrとしてパラメーター変数を作成する必要がありました。

temp = "100"
myCursor.execute("UPDATE testDB.UPS SET netAmount = %s WHERE auditSysNum = '42452'",(temp,))
myCursor.execute(var)
0
Parth Shah

別の方法があります。 MySQLの公式Webサイトに文書化されています。 https://dev.mysql.com/doc/connector-python/en/connector-python-api-mysqlcursor-execute.html

精神的には、@ Trey Stoutの答えと同じメカニズムを使用しています。ただし、この方がきれいで読みやすいと思います。

insert_stmt = (
  "INSERT INTO employees (emp_no, first_name, last_name, hire_date) "
  "VALUES (%s, %s, %s, %s)"
)
data = (2, 'Jane', 'Doe', datetime.date(2012, 3, 23))
cursor.execute(insert_stmt, data)

そして、変数の必要性をよりよく説明するために:

注意:エスケープが行われていることに注意してください。

employee_id = 2
first_name = "Jane"
last_name = "Doe"

insert_stmt = (
  "INSERT INTO employees (emp_no, first_name, last_name, hire_date) "
  "VALUES (%s, %s, %s, %s)"
)
data = (employee_id, conn.escape_string(first_name), conn.escape_string(last_name), datetime.date(2012, 3, 23))
cursor.execute(insert_stmt, data)
0
Djidiouf