我正在尝试使用以下代码使用pyodbc执行查询:
cursor.execute("SELECT x from y where Name='%s'"%namepar)
参数可能包含引号,因此需要转义才能正常工作,我该如何做?我尝试在namepar中将 " ' " 替换为 " \\' ",但仍无法正常工作,出现了pyodbc.ProgrammingError错误。
2个回答
6
你可以传递参数,这些参数将被转义。
cursor.execute("SELECT x from y where Name = ?", (namepar,))
- falsetru
-4
你也可以尝试在它周围加上额外的引号。在我的使用情况下,这种方法有效。
cursor.execute("SELECT x from y where Name=''%s''" % namepar)
- Dan Temkin
1
1这个程序容易受到 SQL 注入攻击的威胁。 - Neob91
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接