在 Python 中使用 SQLite3 時，為什麼在使用“？”參數替換時出現“提供的綁定數量不正確”？

SQLite 參數替換難題

為了防止 SQL 注入，開發人員在將 SQLite3 與 Python 2.5 結合使用時遇到錯誤。當採用建議的“?”時參數替換以防止注入，他們面臨以下困境：

sqlite3.ProgrammingError: Incorrect number of bindings supplied. The current statement uses 1, and there are 8 supplied.

這個問題似乎源於資料庫的初始創建，其中包含八個綁定。然而，使用不太安全的“%s”替換每個項目名稱解決了這個問題。

for item in self.inventory_names:
    self.cursor.execute("SELECT weight FROM Equipment WHERE name = '%s'" % item)
    self.cursor.close()

解決這個困惑的方法在於理解 Cursor.execute() 方法需要一個序列作為它的第二個範圍。在本例中，開發人員提供的字串恰好有八個字元長。為了修正這個問題，應該實現以下程式碼修改：

self.cursor.execute("SELECT weight FROM Equipment WHERE name = ?", [item])

透過遵循此參數規範，可以有效解決該問題，從而可以安全且有效率地從 SQLite3 檢索資料。

以上是在 Python 中使用 SQLite3 時，為什麼在使用“？”參數替換時出現“提供的綁定數量不正確”？的詳細內容。更多資訊請關注PHP中文網其他相關文章！