sql = """
INSERT INTO [SCHOOLINFO]
VALUES(
'""" + self.accountNo + """',
'""" + self.altName + """',
'""" + self.address1 + """',
'""" + self.address2 + """',
'""" + self.city + """',
'""" + self.state + """',
'""" + self.zipCode + """',
'""" + self.phone1 + """',
'""" + self.phone2 + """',
'""" + self.fax + """',
'""" + self.contactName + """',
'""" + self.contactEmail + """',
'""" + self.prize_id + """',
'""" + self.shipping + """',
'""" + self.chairTempPass + """',
'""" + self.studentCount + """'
)
""";
我有下面的代碼,Python一直拋出它連接字符串和非類型對象的錯誤。事情是我已經驗證了每個變量這裏實際上是一個字符串,而不是null。今天我一直堅持這一段時間,任何幫助將不勝感激。Python:不能連接str和NoneType對象
打印的東西有可能做的更好(更安全!)的方式。你傳遞這個SQL到什麼庫? MySQLdb的? – 2010-06-17 17:58:46
必需http://xkcd.com/327/學校相關的SQL注入攻擊 – Stephen 2010-06-17 18:00:34
這不知何故讓我想起這個XKCD漫畫(http://xkcd.com/327/),但我希望OP能夠清理他的輸入。 – 2010-06-17 18:01:34