python中执行sql,如何escape掉单引号和双引号,就是插入的字符串中,包含引号如何处理?


python中执行sql比如:


 sql = 'UPDATE LINKS SET TITLE="{0}" WHERE id="3";'.format('a \\"string\\" in quote')

这是我尝试做的用两个\,但还是不可以插入带单引号或者双引号的条目,字符串中的单引号或者双引号不确定。

sql python mysql sqlite

复写神之眼 11 years, 1 month ago

请认真看文档!Python DB API 2.0 里有说明的, .execute() 方法可以接受两个参数,第一个是 SQL 语句模板,第二个是值的集合。比如 SQLite3 里(使用标准库的 sqlite3 模块):


 py


 cursor.execute('UPDATE LINKS SET TITLE=? where id = "3"', ('a \\"string\\" in quote',))

PostgreSQL 里(使用 psycopg2):


 py


 cursor.execute('UPDATE LINKS SET TITLE=%s where id = "3"', ('a \\"string\\" in quote',))

不同的库使用的占位符不一样,详见 http://legacy.python.org/dev/peps/pep-0249/ 以及你所使用的库的文档。 切勿自行格式化 SQL 语句

TSink. answered 11 years, 1 month ago

Your Answer