Возникает ошибка в синтаксисе, почему?

Question

[arndt2000]

В строке

cursor.execute(f"SELECT id_user FROM users WHERE id_user = {people_id}")

Возникает syntaxError: invalid syntax

Answer 1

[soremix]

f-строки появились в Python с версии 3.6

Но в любом случае, для формирования SQL запросов не стоит использовать f-строки

cursor.execute("SELECT id_user FROM users WHERE id_user = ?", (people_id,))

Comments

[Shandy]

Но в любом случае, для формирования SQL запросов не стоит использовать f-строки

А почему? Всегда их использовал, вроде проблем нет

[Владимир Куц]

Shandy, небезопасно.
Если вам в people_id прилетит что-то вроде "1;DELETE FROM users;" откуда-то из пользовательского ввода, то у вас грохнется вся таблица.

[Shandy]

Владимир Куц, не задумывался об этом, спасибо) хотя у меня в запрос и не может такое попасть, но все же

[Владимир Куц]

Shandy, лучше привыкать сразу писать правильно. А то потом в более сложном приложении сделаете так же по привычке, и понаплодите кучу дырок безопасности на ровном месте.

[Shandy]

Владимир Куц, а чем принципиально различается это

f"SELECT id_user FROM users WHERE id_user = {people_id}"

и это

"SELECT id_user FROM users WHERE id_user = ?", (people_id,)

Разве во втором случае нельзя подсунуть 1;DELETE FROM users; и дропнуть всю таблицу?

[Владимир Куц]

Shandy,
Во втором случае оно вставит примерно так:

SELECT id_user FROM users WHERE id_user = '1;DELETE FROM users;'

и свалится с ошибкой, поскольку такого id не найдет.
Впрочем - почитайте документацию хотя бы https://docs.python.org/3/library/sqlite3.html
там в нескольких первых абзацах говорится об этом )

[o5a]

Shandy,

Разве во втором случае нельзя подсунуть 1;DELETE FROM users; и дропнуть всю таблицу?

Нельзя.

Помимо безопасности, использование параметризированных запросов вместо форматирования позволяет не заботиться об обрамлении кавычками в случае строк. Для вставки строкового при форматировании пришлось бы учитывать и добавлять кавычки

f"SELECT * FROM users WHERE user_name = '{user_name}' "

в случае подстановки параметров это не требуется

execute("SELECT * FROM users WHERE user_name = ?", (user_name, ) )

Answer 2

[Azamgl]

Ты не можешь элемент запихнуть в строку

Comments

[arndt2000]

Не шарю за питон,просто хочу воспользоваться скриптом,скинь,как оно должно выглядеть

[Azamgl]

arndt2000, cursor.execute(f"SELECT id_user FROM users WHERE id_user =",{people_id})

[Azamgl]

И не могу понять что это за f в начале
Из-за этого тоже не запускается программа

Answer 3

[galaxy]

Второй питон, что ли?
f-строки только в третьем

Comments

[arndt2000]

Хз

[galaxy]

arndt2000, # python -V

[arndt2000]

Пытаюсь запустить на питоне 3.6,возникает ошибка
File "gay.py", line 7, in
from telebot import types
ImportError: cannot import name 'types'