Задать вопрос
@guit24
python

Проблема со вставкой аргументов в sql запрос python, в чем причина?

Запрос не отправляется. Код:

def register_command(command: str, user_id: int):
    time_now = datetime.now().strftime('%Y-%m-%d %H:%M:%S')
    with sq.connect('history.db') as con:
        cur = con.cursor()

        cur.execute("""
        INSERT INTO commands (user_id, date, command_name) VALUES (7 , {} , 'd')""".format(time_now))

Ошибка:

line 38, in register_command
    cur.execute("""
sqlite3.OperationalError: near "23": syntax error
"
  • Вопрос задан
  • 54 просмотра
Комментировать
Подписаться 1 Средний Комментировать
Решения вопроса 1
Vindicar
@Vindicar
RTFM!
Ни в коем случае не делайте так
cur.execute("""INSERT INTO commands (user_id, date, command_name) VALUES (7 , {} , 'd')""".format(time_now))

Поймаете SQL injection, да и косяков со строками тоже будет немеряно. На один вы уже наткнулись.
Правильно будет так:
cur.execute("INSERT INTO commands (user_id, date, command_name) VALUES (7 , ?, 'd')", (time_now,))

В этом случае передаваемый аргумент будет правильно экранирован, завернут в кавычки и пр.
Это написано в начале документации по модулю sqlite3, но ведь документацию читают только лузеры. правда же?
Ответ написан
1 комментарий
1 комментарий
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Senior Python Developer (Кипр)
Wanted. Лимассол
До 6 000 €
Python-разработчик
Налоги Онлайн
от 240 000 до 400 000 ₽
Python разработчик
Гринатом Москва
от 150 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Сделать сайт максимально доступным в поисках Яндекс и гугл
17 нояб. 2024, в 07:03
500 руб./за проект
Собрать SEO семантическое ядро для сайта
17 нояб. 2024, в 00:51
3000 руб./за проект
Отредактировать картинку и сделать с ней инфографику
16 нояб. 2024, в 22:54
100 руб./за проект
Ещё заказы