Python中execute的SQL语句的分次合成

已于 2022-05-20 09:46:42 修改
阅读量1.3k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 笔记 文章标签: sql 数据库 database python
于 2022-05-06 11:13:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ReuterK/article/details/124604905
本文介绍了如何在Python中分步构建和执行包含复杂参数的SQL语句。通过示例展示了如何利用字符串格式化方法将列表元素插入SQL的IN条件中,并在后续步骤中添加时间条件。两种不同的格式化方式被提出,分别是使用百分比符号和使用元组作为参数。最后提到了使用参数化查询的方式以避免SQL注入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Python中SQL语句的分次合成

在python执行sql语句时,需要事先准备。有时候会碰到比较复杂的参数填入时,似乎无法一步到位,这个时候,可以考虑分步写入。

比如以下一个sql输入:
需要一个范围清单,以及一个指定时间值。

sql = "Select ... from DB where col in (A) and myDatetime>(B)"

这个sql字符串,考虑使用分布填写比较容易操作。

第一步:

sql = "Select ... from DB where col in (A)..." #请查找一下将list中的值填写入字符串的方法,是一个格式化的手段进行的

提供两个找到的格式化方式

#提供两个找到的格式化方式
Test_list = ['a','b','c']
sql = "select * from DB where col in ('%s')"% ("','".join(Test_list))
print(1,sql)

sql = "select * from DB where col in (%s)" % ','.join(["'%s'" % item for item in Test_list])
print(2,sql)

测试代码输出结果

第二步:

	sql += " where myDatetime>%s"%(str_yourSettingTime)
	cursor = connections['dbname'].cursor()
	cursor.execute(sql)

其中第一步的目的就是将查询字符串到第二步之前,就以及包含了所有list元素,到了第二步就可以把sql作为一个已知的字符串进行操作了。

当然,也可以将第二个参数作为execute的参数部分输入。

	sql += " where myDatetime>%s"
	tup_Para =(str_yourSettingTime,)
	cursor = connections['dbname'].cursor()
	cursor.execute(sql,tup_Para)

注意前面sql的那个hwere前的空格,以及tup_Para的括号中的那个逗号‘,'。

python批量替换sql语句中的id
LDC,公众号【轻松学编程】
09-07 464
1、连接数据库 2、获取新表最大id,然后加1 3、逐行读取sql文件 4、使用正则表达式批量替换id 5、执行sql语句并提交 6、关闭数据库
python 连接操作 mysql数据库
someonei的博客
03-10 410
整理思路1.导入from pymysql import *(下载pymsql,终端中输入pip3 install pymysql)2.建立类,和函数根据已经创建过的数据库和优化后codingclass JD(object):    def __init__(self):        # 创建Connection连接        self.conn = connect(host='localho...
Python+OGR库碎片整理——ExecuteSQL筛选要素
Winner的博客
01-01 1245
整理一下SQL语句筛选shp要素,关于SQL语句详细使用参考:[OGR:SQL]https://www.gdal.org/ogr_sql.html 1、获取cover是grass的要素并id降序返回,然后打印id import ogr,os os.chdir(r'F:\Python+gdal\7weeks数据\7weeks数据\ospy_data3\ospy3_data') driver = og...
python执行sql文件
热门推荐
ck3207的博客
09-19 2万+
最近遇到一对需要执行的sql文件,sql文件内是insert 语句。如下:INSERT INTO hs_his.stock_industry VALUES ('采掘', '000006', '深振业A'); INSERT INTO hs_his.stock_industry VALUES ('采掘', '000409', '山东地矿'); INSERT INTO hs_his.stock_indus
Python 使用sql查询语句execute(sql),结果保存到变量
02-23 5913
Python调用sql数据库的数据,使用sql语句execute(sql)。 根据dataFrame中,查询该字段“contnet_id”,对应的"content",结果保存到一个变量。 from sqlalchemy import create_engine def content(ids): engine=create_engine("mysql+pymysql://账号:密码@127.0.0.1:5050/数据库名",echo=True,connect_args={'charset'
python execute() 使用%s 拼接sql 避免sql注入攻击 好于.format
tenc1239的博客
09-12 1299
1 execute(参数一:sql 语句, 参数二: %s占位符传值元组) -> 元组必须以逗号结束-> 有%s就要参数二。
PythonPython执行PostgreSQL数据库SQL脚本
tttzzzqqq2018的博客
08-22 3231
【代码】Python执行SQL脚本。
pythonsql语句中使用%s,%d,%f说明
09-16
下面将详细解释这些占位符的用法以及它们在SQL语句中的作用。 1. **%s** 占位符: `%s` 是用于插入任何类型的数据,包括字符串、数字、布尔值等。Python会自动将这些值转换为字符串格式。例如,如果你有一个变量`...
Python MySQLdb 执行sql语句时的参数传递方式
01-20
使用MySQLdb连接数据库执行sql语句时,有以下几种传递参数的方法。 1.不传递参数 conn = MySQLdb.connect(user=root,passwd=123456,host=192.168.101.23,db=cmdb) orange_id = 98 sql = select * from orange where...
解决python 执行sql语句时所传参数含有单引号的问题
01-21
在编写自己的程序时,需要实现将数据导入数据库,并且是带参数的传递。...cur.execute(sql_str) 执行程序后,产生错误: ProgrammingError: (1064, “You have an error in your SQL syntax; check the m
python中的myql的execute()
BJ1599449的博客
06-17 2925
python中的myql的execute() executesql,args)方法注意事项: 1、execute方法中sql语句占位符是%s,与mysql中的?不同。 2、%s必须用括号包裹,如 insert into teacher(name) values (%s) 正确 insert into teacher(name) values %s 报错 3、args一般是list或tuple格式,如果只有一个参数,可直接传入 例子 while True:.
python execute select,Python Peewee execute_sql()示例
weixin_42403100的博客
02-09 306
I am using the Peewee module as the ORM for my project.I read the entire documentation, there is no clearexample on how to process the result from db.execute_sql().I traced the code, only can find db....
分享一个通过python执行sql语句的模板
weixin_44976611的博客
02-25 392
【代码】分享一个通过python执行sql语句的模板。
PythonSQLite3的execute函数参数详细说明
huanqing2010的专栏
05-02 1万+
Python使用SQLite3在更新语句update-sql时,execute的第二个参数可以是tuple和dict。本文翻译自Python官方网站,附带代码案例。
Python】使用execute(sql)执行insert之后没有插入数据
weixin_39407597的博客
11-27 1686
sql为insert语句,用Pythonsqlalchemy模块中的execute()执行之后没有插入数据的情况,主要是因为sqlalchemy版本的更新,不能直接只用execute()了,MySQL数据库连接的配置和sql都需要多处理一步
mysql python pymysql模块 增删改查 插入数据 介绍 commit() execute() executemany() 函数
weixin_30795127的博客
03-15 1407
import pymysql mysql_host = '192.168.0.106' port = 3306 mysql_user = 'root' mysql_pwd = '123' encoding = 'utf8' # 建立 连接mysql服务端 conn = pymysql.connect( host=mysql_host, ...
python使用SQL语句的类方法
qq_40261822的博客
08-31 860
from pymysql import connect class JD(object):     def __init__(self):         self.connect = connect(host='localhost',port=3306,user='root',password='mysql',database='jing_dong',charset='utf8')     ...
Python——连接数据库操作
dajiba_fengsheng的博客
12-12 4840
一、数据库基础用法 要先配置环境变量,然后cmd安装:pip install pymysql 1、连接MySQL,并创建wzg库 #引入decimal模块 import pymysql #连接数据库 db=pymysql.connect(host='localhost',user='root',password='1234',charset='utf8') #创建一个游标对象(相当于指针) cursor=db.cursor() #执行创建数据库语句 cursor.execute('create
python条件查询mysql_如何在单个sql查询中编写多个条件以获取数据-Python mysql
weixin_39921504的博客
12-03 444
I am in a dilema that how could i writ such sql queries to make a seach. I have tried and posted it, but it not as expected when user enter data in multiple field of a form and make a search.The query...
pythoncursor sql语句占位符
最新发布
02-18
### Python 中使用 SQL 占位符的最佳实践 在 Python 中执行 SQL 查询时,推荐使用参数化查询来防止 SQL 注入攻击并提高代码可读性和维护性。对于不同的数据库驱动程序,占位符语法可能有所不同。 #### 使用 `sqlite3` 库作为示例: 当使用 SQLite 数据库时,可以采用命名风格或问号风格的占位符[^1]。 ```python import sqlite3 connection = sqlite3.connect(':memory:') cursor = connection.cursor() # 创建表结构 cursor.execute('CREATE TABLE users(id INTEGER PRIMARY KEY, username TEXT NOT NULL);') # 插入单条记录 - 使用问号风格 (?) cursor.execute('INSERT INTO users(username) VALUES(?);', ('alice',)) # 批量插入多条记录 - 使用问号风格 (?) users_to_insert = [ ('bob',), ('carol',) ] cursor.executemany('INSERT INTO users(username) VALUES(?);', users_to_insert) # 查询数据 - 使用命名风格 (:name) cursor.execute('SELECT * FROM users WHERE id=:uid;', {'uid': 1}) result = cursor.fetchone() print(result) ``` #### 使用 `psycopg2` 连接 PostgreSQL 数据库: PostgreSQL 的 psycopg2 驱动支持百分号 (`%s`) 和扩展样式 (`%(key)s`) 参数绑定方式。 ```python import psycopg2 conn = psycopg2.connect(dbname="testdb", user="postgres", password="secret") cur = conn.cursor() # 插入操作 - 使用 %s 样式的占位符 cur.execute( "INSERT INTO employees(first_name, last_name) VALUES (%s, %s)", ("John", "Doe"), ) # 更新操作 - 同样适用 %s 或者 %(key)s 方式 update_query = """ UPDATE employees SET salary=%(salary)s WHERE first_name=%(fname)s AND last_name=%(lname)s; """ cur.execute(update_query, { 'salary': 70000, 'fname': 'Jane', 'lname': 'Smith' }) conn.commit() # 记得提交事务 ``` #### 安全提示与最佳实践建议: - 总是优先考虑预编译语句和参数化查询; - 不要拼接字符串构建最终 SQL 命令; - 对于批量处理场景,利用 `executemany()` 方法提升效率; - 尽量减少硬编码常数值,在适当情况下定义配置文件或环境变量存储敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值