执行中的Python sqlite3字符串变量_Python_Sqlite

执行中的Python sqlite3字符串变量

python sqlite

执行中的Python sqlite3字符串变量,python,sqlite,Python,Sqlite,我尝试用Python执行这个sqlite3查询。我将代码缩减到最低限度，sqlite.connect等可以工作 column = 'Pron_1_Pers_Sg' goal = 'gender' constrain = 'Mann' with con: cur = con.cursor() cur.execute("SELECT ? FROM Data where ?=?", (column, goal, constrain)) con.commit()

我尝试用Python执行这个sqlite3查询。我将代码缩减到最低限度，sqlite.connect等可以工作

column = 'Pron_1_Pers_Sg'
goal = 'gender' 
constrain = 'Mann'


with con:
    cur = con.cursor()

    cur.execute("SELECT ? FROM Data where ?=?", (column, goal, constrain))
    con.commit()

    rows = cur.fetchall()

    for element in rows:
        values.append(element)

这将返回一个空列表。

如果我硬编码字符串，它会工作并返回值。

我今天遇到了类似的问题。我不确定这是否能解决您的问题：

cur.execute("SELECT ? FROM Data where ?=?", (column, goal, constrain,))

重要的是最后一个，

试一试，这是我的代码的问题-所以也许它也能帮助你。很抱歉，我无法真正解释原因，因为我只是在学习自己，并且已经对python/sqlite感兴趣好几周了

参数标记只能用于表达式，即值。不能将它们用于表名和列名等标识符

使用以下命令：

cur.execute("SELECT "+column+" FROM Data where "+goal+"=?", (constrain,))

或者这个：

cur.execute("SELECT %s FROM Data where %s=?" % (column, goal), (constrain,))

（并且在实际访问完数据之前不要提交。）

试试这个：

c.execute（“从数据中选择{idf}，其中{goal}”）\
格式（idf=column，goal=constraint））

只有一个元素的元组才需要结尾处的，以将它们与普通表达式区分开来。谢谢，但这没有帮助。但我可以解释一下：这是因为提供的值必须是一个元组。虽然这并没有直接回答OP问题，但它今天为我提供了有价值的见解，因为我也是Python新手，无法理解为什么我的单个参数失败了。。。直到Duckduckgo找到我为止。这是否易受sql注入攻击？@DrewV是，如果允许攻击者控制

列

或

目标

。