pymysql以表名作为变量传递进查询语句中

相关文章推荐

活泼的椰子 · SSIS处理导入数据——存在的更新, ...· 4 月前 ·

玩命的汉堡包 · Linux上Python连接Oracle解决 ...· 1 年前 ·

严肃的烈酒 · css 文字添加下划线-掘金· 1 年前 ·

低调的回锅肉 · 在windows下调试android工具代码 ...· 1 年前 ·

腹黑的铅笔 · 七爪源码：如何在 React Hooks ...· 1 年前 ·

在使用cursor.execute(sql, param)时，pymysql库会自动转义含有%s的字符串，所以不要画蛇添足在SQL语句中给%s加引号了，会报1064的错误滴！

另外也有许多人使用有SQL注入隐患的cursor.execute(sql % param)这种用法，这样是可以给%s加引号的。

在我们学习使用pymysql的时候有时需要把表名当做变量传递到sql语句中去执行,
然而我们的固定思维模式有时却限制了我们:
如:我们知道传递变量可以用占位符%s,后面加上变量就行,
在pymysql中也有同样的问题,我们在执行sql语句的时候可以把变量传递进去

sql = 'insert into TabName + ' value (%s %s)'
cursor.execute(sql, [name,age])
如果我们的TabName也是变量的话我们就会习惯性的这样加
sql = 'insert into %s + ' value (%s %s)'
cursor.execute(sql, [tabname,name,age])
然后这样报错了我们才知道这样不行,然后再去查原因,发现我们被自己的固定思维给限制住了(反正我是这样的)
我也是在网上找了半天再找到了解决办法,只要跳出这样的思维就行了
sql = 'insert into %s + ' value (%s %s)'
cursor.execute(sql, [tabname,name,age])
sql = 'insert into %s(name,age)' %TabName + ' value (%s)'
cursor.execute(sql, [name])
这样就没问题了,有时候我们是能解决这类似的问题的,但是我们却是往往被自己的固定思维给坑了!
python在mysql存储图片二进制文件
SQL 操作用字符串拼接不是一个好的习惯(这样会有sql注入的风险), 试试用参数化查询:
find_binary=pymysql.Binary(img_data)            #使用Binary()函数来指定存储的是二进制
add_row = """INSERT INTO IMGS(ID,IMG,编号,DATAIMG) VALUES($s, %s, %s, %s)"""
cursor.execute(add_row, (7, 'K1', 'NO.', find_binary))