我在尝试在我的 Web 应用程序上安装搜索功能时遇到问题。问题出在以下代码上。我已经尝试了以下两个查询,但python给了我一个错误,我将在下面列出:
def searchBox(user_id, searchparams):
try:
cursor = connection.cursor()
if cursor:
sql = "SELECT * FROM db_email WHERE user_id = %d AND deleted = 0 AND subject LIKE '%%%s%%';"
cursor.execute(sql % (user_id, searchparams)
我也尝试过:
try:
cursor = connection.cursor()
if cursor:
sql = "SELECT * FROM db_email WHERE user_id = %d AND deleted = 0 AND subject LIKE " + "'%" + searchparams + "%';"
cursor.execute(sql % (user_id))
两者都为我返回此错误:
TypeError: not enough arguments for format string
这是我遇到过的唯一原始查询,它与我需要调用 LIKE 的方式有关。我可以编写一个存储过程来绕过 python,但我觉得我在做一些愚蠢的事情并忽略了一个问题。任何帮助将不胜感激
谢谢。我认为问题的一部分在于我的 LIKE 查询,我需要用百分号括起来我的搜索参数,而下面的答案不是这样工作的 -
subject LIKE '%somestringimlookingfor%'
使用上面的代码,它似乎可以"测试"%"。有什么想法吗?
不要
对SQL查询使用字符串内插,这是完全不安全的。
请改用查询参数:
sql = """SELECT
*
FROM
db_email
WHERE
user_id = %s AND
deleted = 0 AND
subject LIKE '%%%s%%'"""
cursor.execute(sql, (user_id, searchparams))
百分号应用%
转义。
上级:
选项略有不同:
sql = """SELECT
*
FROM
db_email
WHERE
user_id = %s AND
deleted = 0 AND
subject LIKE %s"""
cursor.execute(sql, (user_id, "%" + searchparams + "%"))
另请参阅:
- Python MySQL 参数化查询
- 如何从python mysql查询中转义%