Sql server pyodbc的参数化创建查询
我试图使用参数化查询来避免pyodbc的SQL注入;基于以下链接中指定的文档: 以下是数据帧:Sql server pyodbc的参数化创建查询,sql-server,pandas,pyodbc,Sql Server,Pandas,Pyodbc,我试图使用参数化查询来避免pyodbc的SQL注入;基于以下链接中指定的文档: 以下是数据帧: In [57]: df Out[57]: TXN_KEY SEND_AGENT PAY_AGENT 0 13273870 ANO080012 API352676 1 13274676 AUK359401 AED002782 2 13274871 ACL000105 ACB020203 3 13275398 AED420
In [57]: df
Out[57]:
TXN_KEY SEND_AGENT PAY_AGENT
0 13273870 ANO080012 API352676
1 13274676 AUK359401 AED002782
2 13274871 ACL000105 ACB020203
3 13275398 AED420319 ASE094882
4 13278566 ARA030210 AII071196
5 13278955 AYM003098 AHX012817
6 13280334 AJ5020114 AED000438
7 13280512 A11171047 AEL051943
8 13281278 AOG010045 ADJ031448
9 13282118 AMX334165 APM033226
10 13283955 APL170095 AE4082002
x=df.columns.tolist()
x
Out[59]: [u'TXN_KEY', u'SEND_AGENT', u'PAY_AGENT']
下面是在sql server数据库中创建表的游标命令:
cursor.execute("""Create table result (? bigint PRIMARY KEY , ? varchar(9), ? varchar(9))""",x[0],x[1],x[2])
ProgrammingError: ('42000', "[42000] [Microsoft][SQL Server Native Client 11.0][SQL Server]Incorrect syntax near '@P1'. (102) (SQLExecDirectW)")
但是
等等。类似地,我还需要为ALTERTABLEADD列编写一个带有参数化查询的游标。我知道如何进行插入、更新和选择。我认为这可能是类似的,但显然不是。这很难看,但因为您没有将参数绑定到列,所以需要执行类似的操作(我已经测试过):
我强烈建议在深入研究pyodbc之前,先学习更多关于pyodbc的知识。更新的文档就在这里,谷歌代码中的任何内容都已经过时了:它记录了您需要执行的选择、插入、删除和更新操作。最后三个需要一个
commit()
语句。祝你好运 您只能将参数用于
除了文字,不能将其用于表名、列名或SQL的任何其他部分
除此之外,您不能也不应该将其用于s-likecreate table
,alter table
,等等
但是您应该对SELECT/INSERT/UPDATE/DELETE语句使用参数化查询
x[0]
Out[63]: u'TXN_KEY'...
cursor.execute("""Create table result ({} bigint PRIMARY KEY, {} varchar(9), {} varchar(9))""".format(x[0], x[1], x[2]))