Python MySQL转义特殊字符

璩俊雅

2023-03-14

问题内容：

我正在使用python将带有特殊字符的字符串插入MySQL。

要插入的字符串如下所示：

macaddress_eth0;00:1E:68:C6:09:A0;macaddress_eth1;00:1E:68:C6:09:A1

这是SQL：

UPGRADE inventory_server 
set server_mac = macaddress\_eth0\;00\:1E\:68\:C6\:09\:A0\;macaddress\_eth1\;00\:1E\:68\:C6\:09\:A1' 
where server_name = 'myhost.fqdn.com

执行更新时，出现此错误：

ERROR 1064 (42000): 
You have an error in your SQL syntax; check the manual that corresponds to your 
MySQL server version for the right syntax to use near 'UPGRADE inventory_server 
set server_mac = 'macaddress\_eth0\;00\:1E\:68\:C6\:09\' at line 1

python代码：

sql = 'UPGRADE inventory_server set server_mac = \'%s\' where server_name = \'%s\'' % (str(mydb.escape_string(macs)),host)
print sql

try:
    con = mydb.connect(DBHOST,DBUSER,DBPASS,DB);
    with con:
       cur = con.cursor(mydb.cursors.DictCursor)
       cur.execute(sql)
   con.commit()
except:
return False

如何原始插入此文本？

问题答案：

这是您应该使用参数绑定而不是在Python中格式化参数的原因之一。

只是这样做：

sql = 'UPGRADE inventory_server set server_mac = %s where server_name = %s'

然后：

cur.execute(sql, macs, host)

这样，您可以将字符串作为字符串处理，然后让MySQL库找出如何为您引用和转义它。

最重要的是，您通常可以获得更好的性能（因为MySQL可以编译和缓存一个查询，并将其重用于不同的参数值），并且可以避免SQL注入攻击（最容易被黑客入侵的方法之一）。

Python MySQL转义特殊字符

相关阅读

相关文章

相关问答