使用序列與字串時如何解決 SQLite 中的參數替換問題？

排查 SQLite 中的參數替換問題

在 Python 中使用 SQLite3 中的參數替換時遇到問題？這裡有一個深入的調查和解決方案。

為了防止 SQL 注入，使用「?」進行參數替換是可取的。然而，使用這種方法時可能會出現錯誤。例如，使用以下程式碼：

<code class="python">for item in self.inventory_names:
    self.cursor.execute("SELECT weight FROM Equipment WHERE name = ?", item)
    self.cursor.close()</code>

出現錯誤“sqlite3.ProgrammingError：提供的綁定數量不正確”，表示該語句指定了一個綁定，而提供了八個。此問題源自於資料庫表的初始建立。負責資料庫建立的模組包含八個綁定，這會導致不匹配。

<code class="python">cursor.execute("""CREATE TABLE Equipment 
    (id INTEGER PRIMARY KEY, 
    name TEXT,
    price INTEGER, 
    weight REAL, 
    info TEXT, 
    ammo_cap INTEGER, 
    availability_west TEXT,
    availability_east TEXT)""")</code>

諷刺的是，替換為「？」使用較不安全的'%s' 可以解決問題：

<code class="python">for item in self.inventory_names:
    self.cursor.execute("SELECT weight FROM Equipment WHERE name = '%s'" % item)
    self.cursor.close()</code>

這個悖論背後的原因在於Cursor.execute () 接受第二個參數的方式。它需要一個序列，而不是單一字串，但您傳遞的是長度為 8 的字串。

要修正此問題，請將程式碼調整為以下內容：

<code class="python">self.cursor.execute("SELECT weight FROM Equipment WHERE name = ?", [item])</code>

此修改確保參數替換按預期工作。始終確保傳遞給 Cursor.execute() 的第二個參數對應於 SQL 語句中指定的綁定數量。

以上是使用序列與字串時如何解決 SQLite 中的參數替換問題？的詳細內容。更多資訊請關注PHP中文網其他相關文章！