Что не так с sql запросом?

Question

[yuckemsi]

ошибка: cur.execute(f'INSERT INTO posts(tg_id, caption) VALUES({tg_id}, {caption})')
sqlite3.OperationalError: no such column: v5huuJVRjuMVJMUVRujmV

функция заносит данные в бд, которые передаются из телеграм бота. понимаю, что проблема в запросе, но искренне не понимаю в чем конкретно

async def create_post(tg_id: int, caption: str, media_id=''):
    if not media_id:
        cur.execute(f'INSERT INTO posts(tg_id, caption) VALUES({tg_id}, {caption})')
    else:
        cur.execute('INSERT INTO posts(tg_id, media_id, caption) VALUES(?, ?, ?)', (tg_id, media_id, caption))
    db.commit()

Comments

[Сергей Горностаев]

Его сформировали интерполяцией строк, поэтому сформировался он криво.

[yuckemsi]

Сергей Горностаев, лучше использовать .format()?

[Сергей Горностаев]

yuckemsi, лучше использовать DB-API.

[Everything_is_bad]

ты во втором случае делаешь правильно, почему ты в первом так не делаешь?

[yuckemsi]

всем услышал, спасибо большое

Answer 1

[dim5x]

Использование f-строк для вставки данных в SQL запросы может привести к уязвимостям, связанным с SQL-инъекциями. Вместо использования f-строк, рекомендуется применять параметризованные запросы или подготовленные выражения, что позволяет безопасно передавать данные в запросы.