Как обновить данные psycorp2?

Question

[Wearant]

Подскажите в чем причина ошибки ?

db_connection = psycopg2.connect(DB_URI, sslmode="require")
db_object = db_connection.cursor()
db_object.execute(f"UPDATE users SET first_name = {first_name} WHERE id = {user_id}")

syntax error at or near "Павел"
LINE 1: UPDATE users SET first_name = Павел WHERE id =*****
^

Answer 1

[antares4045]

db_object.execute(f"UPDATE users SET first_name =? WHERE id =? ", [first_name, user_id] )

Ну или в крайнем случае

db_object.execute(f"UPDATE users SET first_name = '{first_name}' WHERE id = '{user_id}' ")

Почитайте на досуге про sql инъекции: анекдот про студента по имени DROP DATABASE станет понятнее.

Upd:
Толи psycopg2, толи cx_Oracle три года назад требовал явно указать тип инжектируемого: тоесть возможно всесто знаков вопроса надо поставить %s

Comments

[Wearant]

Обязательно прочитаю , не ужели ошибка из-за каких то кавычек

а не подскажете как обновить сразу несколько данных одним запросом .

db_object.execute(f"UPDATE users SET last_name= '{last_name}' WHERE id = '{user_id}' ")
db_object.execute(f"UPDATE users SET first_name = '{first_name}' WHERE id = '{user_id}' ")

2 в 1 , а я пока что пойду почитаю по вашему совету.

[antares4045]

Wearant, UPDATE users SET last_name= '{last_name}', first_name = '{first_name}' WHERE id = '{user_id}'

[Wearant]

antares4045, Вот как так , я же сначала сам попробовал =) -_-

Благодарю

[Wearant]

antares4045, по поводу вашего UPD

у меня данные отправляют вот так

db_object.execute("INSERT INTO users(id, first_name, last_name, admins) VALUES (%s, %s, %s, %s)", (user_id, first_name, last_name,admins))

[antares4045]

Wearant, и настоятельно рекомендую придерживаться именно подхода с %s: упоминание инъекций какраз должно было натолкнуть вас, на то, почему второй предложеный мной вариант именно на крайний случай. Если какой нибудь умник решит представиться как
Вася'; drop table users;--
то ваше приложение от полного краха при использовании второго подхода спасёт только то, что вы используете execute а не executemany

[antares4045]

Но вот имя
Вася'; --
По идее переименует в вась всех пользователей вашего приложения

[Wearant]

antares4045,

написано на vk_api

и данные получаются из сообщения в беседе

user_id = event.message.from_id  
user_get = vkls.users.get(user_ids=user_id, fields =("can_write_private_message") )
user_get = user_get[0]
first_name = user_get['first_name']
last_name = user_get['last_name']

[antares4045]

Wearant, окей убедили: в вашем случае калечащие данные прийти не должны, но всеравно не стоит вырабатывать не правильные привычки (я тот вариант упомянул просто как ответ, почему ваш код падал -- потому что в sql строки должны быть в кавычках)

[Wearant]

antares4045,
хорошо учту

db_object.execute(f"SELECT user_id , chat_id FROM users WHERE user_id = '{user_id}' , chat_id = '{chat_id}'")

LINE 1: ... , chat_id FROM users WHERE user_id = '160970741'   ,    chat_id ...
                                                                                                    ^

А где я тут сломал систему ? или нельзя несколько значений для сверки приводить ?

Работает вот так

db_object.execute(f"SELECT user_id , chat_id FROM users WHERE (user_id = '{user_id}' AND chat_id = '{chat_id}')")

Правильно или это костыль ?

UPD
работает , но не правильно . Как я понял сравнение идет по 1 параметру и этот параметр chat_id , а user_id игнорирует

[antares4045]

Wearant, можно и без скобок и в данном случае будут выбраны записи у которых правильный и юзерайди и чатайди. И если у вас не так, то, вероятно, вы просто не правильно думаете, что лежит в базе (например не коммитите после инсерта/апдейта)

[Wearant]

antares4045,

10 из 10 вам =)

[antares4045]

Ну или эти айдишники внезапно оказались числами а не строками, и кавчки надо убрать)