使用 pymssql 查询格式化

Posted

技术标签:

【中文标题】使用 pymssql 查询格式化【英文标题】:Query formatting using pymssql 【发布时间】:2017-06-16 01:39:05 【问题描述】:

我正在尝试使用带有 pymssql 的变量来检索 2.7 Python 中的数据库查询。尝试运行脚本时遇到语法错误。脚本如下:

school = 'Some School'
sql_statement = '''
            SELECT TOP 10
              a.Item_Name,
              sum(a.Sales) 'Total_Spend'
            FROM some_DB a
            WHERE
              a.School_Name =  
            GROUP BY a.Health_Rating, a.Item_Name
            ORDER BY 2 DESC;
        '''.format(school)

连接没有问题,所以我排除了该代码。

只有当我尝试使用 .format() 方法添加变量时才会出错。对此的任何帮助将不胜感激。

干杯。

【问题讨论】:

【参考方案1】:

我找到了这个解决方案,如有必要,请随时纠正我。经过一番研究,我发现格式化运算符可以被SQL注入并且不允许转义。从上一个问题variables with python and sql获得的信息

school = 'Some School'
sql_statement = '''
            SELECT TOP 10
              a.Item_Name,
              sum(a.Sales) 'Total_Spend'
            FROM some_DB a
            WHERE
              a.School_Name = (%s) 
            GROUP BY a.Health_Rating, a.Item_Name
            ORDER BY 2 DESC;
        '''
cursor.execute(sql_statement, school)

【讨论】:

以上是关于使用 pymssql 查询格式化的主要内容,如果未能解决你的问题,请参考以下文章

在哪里可以找到扩展名为 .py 的 PYMSSQL 模块?

查询大型 SQL Server 表时,pymssql/pyodbc 性能(cursor.execute)非常慢

pymssql 问题 - INSERT 不适用于参数

Python 学习 第十三篇:数据的读写-文件DataFramejson和pymssql

如何压缩代码'pymssql查询数据从sql到dataframe'?

pymssql 不返回结果数据