Задать вопрос
@yukharpaev
python

Как сравнить с подстрокой без sql-инъекций?

Запрос формируется в python-модуле.
База данных - PostgreSQL.

В sql-запросе есть сравнение с подстрокой:
'''
SELECT *
FROM TableTemp
WHERE "SomeColumn" LIKE '%{0}%'
'''.format(<some_string>)

Если строкой будет:
%' --
то проверка всегда будет возвращать "True".
Дополнительно, можно сделать sql-инъекцию

Подскажите, как правильно обработать строку, чтобы она учитывалась при поиске, но не портила запрос и не было sql-инъекций?
  • Вопрос задан
  • 371 просмотр
Комментировать
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
sim3x
@sim3x
initd.org/psycopg/docs/usage.html#query-parameters

Psycopg casts Python variables to SQL literals by type. Many standard Python types are already adapted to the correct SQL representation.

Example: the Python function call:

>>> cur.execute(
...     """INSERT INTO some_table (an_int, a_date, a_string)
...         VALUES (%s, %s, %s);""",
...     (10, datetime.date(2005, 11, 18), "O'Reilly"))
is converted into the SQL command:


INSERT INTO some_table (an_int, a_date, a_string)
 VALUES (10, '2005-11-18', 'O''Reilly');

Named arguments are supported too using %(name)s placeholders. Using named arguments the values can be passed to the query in any order and many placeholders can use the same values:

>>> cur.execute(
...     """INSERT INTO some_table (an_int, a_date, another_date, a_string)
...         VALUES (%(int)s, %(date)s, %(date)s, %(str)s);""",
...     {'int': 10, 'str': "O'Reilly", 'date': datetime.date(2005, 11, 18)})
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Senior Python Developer (Кипр)
Wanted. Лимассол
До 6 000 €
Python разработчик (офис)
SpectrumData Екатеринбург
от 150 000 до 250 000 ₽
Python разработчик
Гринатом Москва
от 150 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Обработать фото в стиле ASCII
22 нояб. 2024, в 08:04
1 руб./за проект
Сверстать десктоп версию сайта в tailwind
22 нояб. 2024, в 06:06
1500 руб./в час
Создать TG бота
22 нояб. 2024, в 06:04
1 руб./за проект
Ещё заказы