我相信这样的参数化语句应与 值 一起使用,而不是与表名(或SQL关键字等)一起使用。因此,您基本上对此感到不走运。
但是,请不要担心,因为该机制旨在防止SQL注入,并且您通常在编写代码时就知道要访问哪个表,因此几乎没有人会注入恶意代码。只需继续并将表写入字符串即可。
如果出于某些(可能是不正确的)原因,您将表名保留为参数形式,例如:
- 如果表名来自您的程序(例如,字典或类属性),请执行通常的字符串替换。
- 如果表名来自外部世界(请考虑“用户输入”):要么不这样做,要么完全信任用户并采用前面的方法1。
例如:
cursor.execute( 'SELECt * FROM %s where %s = %s' % ("my_table", "colum_name", "%s"), #1 ("'some;perverse'string;--drop table foobar")) #2#1:此时将第三个%s替换为另一个’%s’,以允许psycopg2进行后续处理
#2:这是将被psycopg2正确引用并放置在原始字符串中的字符串,而不是第三个’%s’
