Escape-строка в%

Question

Escape-строка в%

Я использую PyMySQL для запроса из базы данных MySQL в Python:

filter = "Pe"
connection = pymysql.connect(host="X", user="X", password="X", db="X", port=3306, cursorclass=pymysql.cursors.SSCursor)
cursor = connection.cursor()
sqlquery = "SELECT * FROM usertable WHERE name LIKE '%%s%'"
cursor.execute(sql, (filter))
response = cursor.fetchall()
connection.close()

Это ничего не возвращает. Я мог бы написать:

sqlquery = "SELECT * FROM usertable WHERE name LIKE '%" + filter +"%'"

и выполнить: cursor.execute(sql), но тогда я теряю выход, что делает программу уязвимой для инъекционных атак, верно?

Есть ли способ, которым я мог бы вставить значение в LIKE, не теряя escape?

...WHERE name LIKE '%%%s%%'" не работает. Я думаю, что%s добавляет 'с обеих сторон замененной экранированной строки как часть своей функции в PyMySQL.

3

python mysql pymysql

Источник

user3166153 28 июл '16 в 11:52

2 ответа

Решение

Удвойте % ты хочешь сохранить.

sqlquery = "SELECT * FROM usertable WHERE name LIKE '%%%s%%'"

0

Источник

user5018771 28 июл '16 в 11:56

Другие вопросы по тегам python mysql pymysql

user244297 28 июл '16 в 12:00 2016-07-28 12:00 · Accepted Answer · 2016-07-28 12:00

Вам нужно передать весь шаблон в качестве параметра запроса и использовать кортеж:

filter = "%Pe%"
sql = "SELECT * FROM usertable WHERE name LIKE %s"
cursor.execute(sql, (filter,))

2

Источник

user244297 28 июл '16 в 12:00