一尘不染

如何显式引用字符串值(Python DB API / Psycopg2)

django

由于某些原因,我想对字符串值进行显式引用(成为构造的SQL查询的一部分),而不是等待cursor.execute方法对其第二个参数的内容执行隐式引用。

“隐式报价”是指:

value = "Unsafe string"
query = "SELECT * FROM some_table WHERE some_char_field = %s;"
cursor.execute( query, (value,) ) # value will be correctly quoted

我更喜欢这样的东西:

value = "Unsafe string"
query = "SELECT * FROM some_table WHERE some_char_field = %s;" % \
    READY_TO_USE_QUOTING_FUNCTION(value)
cursor.execute( query ) # value will be correctly quoted, too

READY_TO_USE_QUOTING_FUNCTIONPython DB API规范是否期望如此低的级别(我在PEP 249文档中找不到这样的功能)。如果没有,也许Psycopg2提供了这样的功能?如果没有,也许Django提供了这样的功能?我不想自己写这样的功能…


阅读 327

收藏
2020-03-31

共1个答案

一尘不染

好的,所以我很好奇,然后去看看psycopg2的来源。事实证明,我不必比示例文件夹更进一步:)

是的,这是psycopg2特有的。基本上,如果你只想引用字符串,则可以执行以下操作:

from psycopg2.extensions import adapt

print adapt("Hello World'; DROP DATABASE World;")

但是,你可能想做的就是编写和注册自己的适配器。

在psycopg2的examples文件夹中,你找到文件“ myfirstrecipe.py”,其中有一个示例,介绍了如何以特殊方式强制转换和引用特定类型。

如果你有想要做的事情的对象,则可以创建一个符合“ IPsycopgSQLQuote”协议的适配器(有关myfirstrecipe.py-example的信息,请参阅pydocs …实际上,这是我可以找到的唯一参考名称) )引用你的对象,然后像这样注册它:

from psycopg2.extensions import register_adapter

register_adapter(mytype, myadapter)
2020-03-31