Wiem, że to stare pytanie, ale często chciałem, co wydaje się, że OP chce: BARDZO prosta biblioteka do generowania podstawowego SQL.
Poniższe funkcje właśnie to robią. Podajesz im nazwę tabeli i słownik zawierający dane, których chcesz użyć, i zwracają zapytanie SQL dla potrzebnej operacji.
Pary klucz/wartość reprezentują nazwy pól i wartości w wierszach bazy danych.
def read(table, **kwargs):
""" Generates SQL for a SELECT statement matching the kwargs passed. """
sql = list()
sql.append("SELECT * FROM %s " % table)
if kwargs:
sql.append("WHERE " + " AND ".join("%s = '%s'" % (k, v) for k, v in kwargs.iteritems()))
sql.append(";")
return "".join(sql)
def upsert(table, **kwargs):
""" update/insert rows into objects table (update if the row already exists)
given the key-value pairs in kwargs """
keys = ["%s" % k for k in kwargs]
values = ["'%s'" % v for v in kwargs.values()]
sql = list()
sql.append("INSERT INTO %s (" % table)
sql.append(", ".join(keys))
sql.append(") VALUES (")
sql.append(", ".join(values))
sql.append(") ON DUPLICATE KEY UPDATE ")
sql.append(", ".join("%s = '%s'" % (k, v) for k, v in kwargs.iteritems()))
sql.append(";")
return "".join(sql)
def delete(table, **kwargs):
""" deletes rows from table where **kwargs match """
sql = list()
sql.append("DELETE FROM %s " % table)
sql.append("WHERE " + " AND ".join("%s = '%s'" % (k, v) for k, v in kwargs.iteritems()))
sql.append(";")
return "".join(sql)
Używasz tego jak ty.Wystarczy nadać mu nazwę tabeli i słownik (lub użyj ** kwargs cechę python):
>>> upsert("tbl", LogID=500, LoggedValue=5)
"INSERT INTO tbl (LogID, LoggedValue) VALUES ('500', '5') ON DUPLICATE KEY UPDATE LogID = '500', LoggedValue = '5';"
>>> read("tbl", **{"username": "morten"})
"SELECT * FROM tbl WHERE username = 'morten';"
>>> read("tbl", **{"user_type": 1, "user_group": "admin"})
"SELECT * FROM tbl WHERE user_type = '1' AND user_group = 'admin';"
ale uwaga Ataki SQL Injection
Spójrz, co się dzieje, gdy użytkownik złośliwy kod czyni to:
>>> read("tbl", **{"user_group": "admin'; DROP TABLE tbl; --"})
"SELECT * FROM tbl WHERE user_group = 'admin'; DROP TABLE tbl; --';"
łatwo jest zrobić własną prowizoryczną ORM ale dostajesz tylko to, co widzisz - trzeba uciec wejściu siebie :)
Generowanie "zwykłych instrukcji SQL" z danymi in-line jest z natury podatne na awarie bezpieczeństwa z powodów tak abstrakcyjnych, jak różne interpretacje znaków Unicode między silnikiem bazy danych a biblioteką generującą dane. To NIE jest coś, co powinieneś spróbować zrobić. Dlatego dane wyjściowe powinny być sformułowane - i przekazane do interfejsu API bazy danych - jako kombinacja ciągu znaków/listy danych. SQLAlchemy zautomatyzuje to. –
Rozumiem, ale przypadek użycia generował plik SQL do wykonania później: – Jeffrey04
http://stackoverflow.com/questions/309945/how-to-quote-a-string-value-explicitly-python-db-api- psycopg2 –