Python 将DB名称插入Sqlite3命令
我使用Python2.7.3和Sqlite3在一个小数据库中保存一些数据。我有以下sql命令:Python 将DB名称插入Sqlite3命令,python,sql,python-2.7,sqlite,Python,Sql,Python 2.7,Sqlite,我使用Python2.7.3和Sqlite3在一个小数据库中保存一些数据。我有以下sql命令: thedb = "allpeople" cursor.execute("INSERT INTO %s VALUES (?,?,?,?,?,?,?,?,?,?,?,?)" % (thedb, data)) conn.commit() 但它抛出了以下错误: TypeError: not all arguments converted during string formatting 您正在尝试插入表名
thedb = "allpeople"
cursor.execute("INSERT INTO %s VALUES (?,?,?,?,?,?,?,?,?,?,?,?)" % (thedb, data))
conn.commit()
但它抛出了以下错误:
TypeError: not all arguments converted during string formatting
您正在尝试插入表名(而不是数据库)。您似乎将其与SQL参数混为一谈;字符串模板化和为查询提供SQL参数是两个完全不同的操作 您必须单独使用字符串格式来构建查询字符串:
cursor.execute("INSERT INTO %s VALUES (?,?,?,?,?,?,?,?,?,?,?,?)" % thedb, data)
或者更清楚地说明正在发生的事情:
query = "INSERT INTO %s VALUES (?,?,?,?,?,?,?,?,?,?,?,?)" % thedb
cursor.execute(query, data)
注意,这将为您打开一个可能的SQL注入向量。也许你应该找一个像样的SQL库;SQLAlchemy允许您从Python调用(以及其他任务)构建SQL查询。您正在尝试插入表名(而不是数据库)。您似乎将其与SQL参数混为一谈;字符串模板化和为查询提供SQL参数是两个完全不同的操作 您必须单独使用字符串格式来构建查询字符串:
cursor.execute("INSERT INTO %s VALUES (?,?,?,?,?,?,?,?,?,?,?,?)" % thedb, data)
或者更清楚地说明正在发生的事情:
query = "INSERT INTO %s VALUES (?,?,?,?,?,?,?,?,?,?,?,?)" % thedb
cursor.execute(query, data)
注意,这将为您打开一个可能的SQL注入向量。也许你应该找一个像样的SQL库;SQLAlchemy允许您从Python调用(以及其他任务)构建SQL查询。至少,您应该放置
%r
而不是%s
,否则如果表名包含特殊字符,您将遇到问题。至少,您应该放置%r
而不是%s
,或者,如果表名包含特殊字符,您将遇到问题。