Задать вопрос
@yukharpaev
python

Как сравнить с подстрокой без sql-инъекций?

Запрос формируется в python-модуле.
База данных - PostgreSQL.

В sql-запросе есть сравнение с подстрокой:
'''
SELECT *
FROM TableTemp
WHERE "SomeColumn" LIKE '%{0}%'
'''.format(<some_string>)

Если строкой будет:
%' --
то проверка всегда будет возвращать "True".
Дополнительно, можно сделать sql-инъекцию

Подскажите, как правильно обработать строку, чтобы она учитывалась при поиске, но не портила запрос и не было sql-инъекций?
  • Вопрос задан
  • 371 просмотр
Комментировать
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
sim3x
@sim3x
initd.org/psycopg/docs/usage.html#query-parameters

Psycopg casts Python variables to SQL literals by type. Many standard Python types are already adapted to the correct SQL representation.

Example: the Python function call:

>>> cur.execute(
...     """INSERT INTO some_table (an_int, a_date, a_string)
...         VALUES (%s, %s, %s);""",
...     (10, datetime.date(2005, 11, 18), "O'Reilly"))
is converted into the SQL command:


INSERT INTO some_table (an_int, a_date, a_string)
 VALUES (10, '2005-11-18', 'O''Reilly');

Named arguments are supported too using %(name)s placeholders. Using named arguments the values can be passed to the query in any order and many placeholders can use the same values:

>>> cur.execute(
...     """INSERT INTO some_table (an_int, a_date, another_date, a_string)
...         VALUES (%(int)s, %(date)s, %(date)s, %(str)s);""",
...     {'int': 10, 'str': "O'Reilly", 'date': datetime.date(2005, 11, 18)})
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Team Lead (С++, Python)
TopAssistant Москва
от 400 000 ₽
Python developer
Bell Integrator
До 350 000 ₽
Python developer
Greenway Global Новосибирск
от 150 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Репетитор javascript vue.js tauri rust
23 апр. 2024, в 23:58
3000 руб./в час
Разработка дизайна раздела «Статьи» на сайте «Мир отходов»
23 апр. 2024, в 23:01
10000 руб./за проект
Дизайн личного кабинета (клиентская часть)
23 апр. 2024, в 22:37
500 руб./в час
Ещё заказы