Как вставить переменную в sql запрос python?

Question

[Dis Out]

Есть такой код:

sql.execute("UPDATE users SET message = random[0] WHERE id = user[0];")
 db.commit()
Этот код не работает

Как правильно вставить random[0] и user[0]

Answer 1

[Рамис]

sql = "UPDATE `users` SET `message` = %s WHERE `id` = %s"
cursor.execute(sql, (random[0], user[0]))

Answer 2

[Amigun]

Отредактировано

sql.execute(f"UPDATE users SET message = {random[0]} WHERE id = {user[0]};")
db.commit()

Если тип данных string, то нужно взять в кавычки:

sql.execute(f"UPDATE users SET message = '{random[0]}' WHERE id = '{user[0]}';")
db.commit()

Во избежание sql-инъекций, лучше использовать следующий вариант:

sql.execute("UPDATE users SET message = ? WHERE id = ?;", (random[0], user[0]))
db.commit()

Comments

[Amigun]

Если тип данных string, то нужно взять в кавычки:

sql.execute(f"UPDATE users SET message = '{random[0]}' WHERE id = '{user[0]}';")
db.commit()

[Рамис]

Нежелательно так делать (вставлять данные в строку запроса), используйте %s

[digit14]

Рамис, а почему?

[Kotar4ik]

Рамис, %s это ведь неудобное наследие Python 2?

Для разделение можно использовать классический format.

sqlscr= "UPDATE users SET message = {0} WHERE id = {1}"
sql.execute(sqlscr.format(str(random[0]), str(user[0]) )

[Amigun]

digit14, как я понял, могут быть sql-инъекции. Тогда, наверно, лучше использовать этот способ:

sql.execute("UPDATE users SET message = ? WHERE id = ?;", (random[0], user[0]))
db.commit()

[Рамис]

Kotar4ik, Использование %s в строке запроса MySQL-это не то же самое

[Kotar4ik]

Рамис, Спасибо, не знал.

[o5a]

Рамис, только символы подстановки для разных баз разные. Если у автора sqlite, как в тэгах, то вместо '%s' должно быть '?'.