MySQL python

0

1

Есть некоторый код на питоне, которые делает сравнение со строчками в БД и выводит нужные данные

#!/usr/bin/python
# -*- coding: utf-8

import MySQLdb
import string

db = MySQLdb.connect(host="localhost", user="root", passwd="bla_bla_bla", db="logdb", charset='utf8')
cursor = db.cursor()

id = "1"
id_user = "12345"
id_prog = "chrome"


sql = """SELECT * FROM agents WHERE id = '1' AND id_user = '12345' AND id_prog = 'chrome'"""
data = cursor.execute(sql)
print data

вопрос как вместо значений в '1', '12345', 'chrome' в запросе вставить данные из переменных выше? С Insert разобрался, а вот такой же метод здесь не проходит.

Ссылка

←	Сборник структур данных

Ищу книжку по крестам

→

я питона не знаю но escape функции не вижу.

visual ★★★
(22.05.12 21:17:23 MSK)

Ответ на: комментарий от visual 22.05.12 21:17:23 MSK

а зачем? потом просто db.close, если я вас правильно понял?

sol13 ★★★★★
(22.05.12 21:27:02 MSK) автор топика

Ссылка

cursor.execute("SELECT * FROM agents WHERE id = %s AND id_user = %s AND id_prog = %s;", (id, id_user, id_prog))

Например.

Kalashnikov ★★★
(22.05.12 21:32:09 MSK)

С Insert разобрался

Очень сомнительно.

~~baverman~~ ★★★
(22.05.12 21:58:48 MSK)

Ответ на: комментарий от baverman 22.05.12 21:58:48 MSK

делал так

sql = """INSERT INTO agents(id, id_user, id_prog)
        VALUES ('%(id)s', '%(id_agent)s', '%(id_prog)s', '%(time_on)s')
        """%{"id":id, "id_agent":id_agent, "id_prog":id_prog}
cursor.execute(sql)

или очень сомнительно?

sol13 ★★★★★
(22.05.12 22:36:11 MSK) автор топика

Ответ на: комментарий от Kalashnikov 22.05.12 21:32:09 MSK

спасибо, ваш вариант больше нравится чем мой, можно сократить количество кода в скрипте теперь =)

sol13 ★★★★★
(22.05.12 22:42:04 MSK) автор топика

Ответ на: комментарий от sol13 22.05.12 22:36:11 MSK

или очень сомнительно?

Я знал, я знал. Никогда так больше не делай.

http://en.wikipedia.org/wiki/SQL_injection

~~baverman~~ ★★★
(22.05.12 22:47:22 MSK)

Ответ на: комментарий от baverman 22.05.12 22:47:22 MSK

Я не понимаю, чем плох такой инсёрт? Вроде по учебнику делал.

Тема то в основном про питон, и как с ним mysql дружить =)

sol13 ★★★★★
(22.05.12 22:51:53 MSK) автор топика

Ответ на: комментарий от sol13 22.05.12 22:51:53 MSK

тебе намекают, какбы и я на это тоже намекал, на то, что какбэ надо экранировать данные в запрос, иначе получишь дырку в приложении

visual ★★★
(22.05.12 22:55:45 MSK)

Ответ на: комментарий от visual 22.05.12 22:55:45 MSK

Спасибо, понял.

sol13 ★★★★★
(22.05.12 23:01:00 MSK) автор топика

Ссылка

Ответ на: комментарий от baverman 22.05.12 22:47:22 MSK

Спасибо.

sol13 ★★★★★
(22.05.12 23:01:11 MSK) автор топика

Ссылка

Ответ на: комментарий от sol13 22.05.12 22:51:53 MSK

чем плох такой инсёрт?

Тем, что тебе в данном конкретном случае повезло с данными.

hint: С англовики есть ссылка на русскую страницу.

~~baverman~~ ★★★
(22.05.12 23:01:23 MSK)

Ссылка

тащемта этот ваш mysqldb умеет экранировать и без вас:

cursor.execute(«SELECT * FROM table WHERE field1=%s AND field2=%s», (value1, value2))

redixin ★★★★
(22.05.12 23:06:47 MSK)

Ссылка

Ответ на: комментарий от sol13 22.05.12 22:42:04 MSK

можно сократить количество кода в скрипте теперь

Маленький трюк для форматирования строк:

>>> id = "1"
>>> id_user = "12345"
>>> id_prog = "chrome"
>>> '{id} {id_user} {id_prog}'.format(**locals())
'1 12345 chrome'
>>>

~~baverman~~ ★★★
(22.05.12 23:09:52 MSK)

Ответ на: комментарий от baverman 22.05.12 23:09:52 MSK

спасибо еще раз =)

sol13 ★★★★★
(22.05.12 23:16:34 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Сборник структур данных

Development

Ищу книжку по крестам

→

Похожие темы