sqlite中的参数化startswith
sqlite中的参数化startswith
提问于 2014-07-17 01:30:18
我正在为sqlite3使用python绑定,并尝试执行如下查询
table1
col1 | col2
------------
aaaaa|1
aaabb|2
bbbbb|3test.py
def get_rows(db, ugc):
# I want a startswith query. but want to protect against potential sql injection
# with the user-generated-content
return db.execute(
# Does not work :)
"SELECT * FROM table1 WHERE col1 LIKE ? + '%'",
[ugc],
).fetchall()有办法安全地做到这一点吗?
预期行为:
>>> get_rows('aa')
[('aaaaa', 1), ('aaabb', 2)]回答 1
Stack Overflow用户
回答已采纳
发布于 2014-07-17 07:37:33
在SQL中,+用于添加数字。您的SQL以... WHERE col1 LIKE 0结束。
若要连接字符串,请使用||
db.execute(
"SELECT * FROM table1 WHERE col1 LIKE ? || '%'",
[ugc],
)页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/24793493
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号