sqlite3.OperationalError: около "%": синтаксическая ошибка?

Question

sqlite3.OperationalError: около "%": синтаксическая ошибка?

Я получаю сообщение об ошибке: sqlite3.OperationalError: near "%": syntax errorкогда я пытаюсь запустить следующий код. импорт sqlite3

def getFromDB(DBname,table, url):
    conn = sqlite3.connect(DBname)
    cursor = conn.cursor()
    sql = '''SELECT * FROM %s WHERE URL=%s'''
    stuff = cursor.execute(sql, (table,url))
    stuff = stuff.fetchall()
    return stuff

url = 'http://www.examplesite.com/'
getFromDB('AuthorData.sqlite','forbes',url)

Я использую параметры в моем SQL запрос с использованием %s, Спасибо за помощь!

2

python python-3.x sqlite sqlite3

Источник

user6710656 12 авг '16 в 19:20

1 ответ

Другие вопросы по тегам python python-3.x sqlite sqlite3

user12590522 24 дек '19 в 13:44 2019-12-24 13:44 · Answer 1 · 2019-12-24 13:44

Некоторая идея: - Использование параметра недоступно для имени таблицы - Использование строкового формата не очень хорошо из-за sql-инъекции

Итак, сначала создайте метод, чтобы сделать имя таблицы безопасным:

def escape_table_name(table):
    return '"%s"'.format(table.replace('"', '')

Затем завершите код, указав имя и параметр escape-таблицы, используя ? для параметра:

    sql = '''SELECT * FROM %s WHERE URL=?'''.format(escape_table_name(table))
    stuff = cursor.execute(sql, (url,))
    stuff = stuff.fetchall()

user5082484 15 янв '18 в 13:58 2018-01-15 13:58 · Answer 2 · 2018-01-15 13:58

Ты можешь использовать:

sql = '''SELECT * FROM {0} WHERE URL= {1}'''.format(table, url)

-1

Источник

user5082484 15 янв '18 в 13:58