設置％s的Mysqldb更新錯誤

Question

我用MySQLdb創建了一個數據庫。
在數據庫中，我有名字student一個表列：

 
id(is int), 
id_user(is int), 
f_name(is str), 
l_name(is str) 

我想更新一行。
我的代碼如下：

db=mdb.connect(host="localhost", use_unicode="True", charset="utf8", 
       user="", passwd="", db="test")       
# prepare a cursor object using cursor() method 
cursor = db.cursor() 

sql="""SELECT id_user FROM student""" 

try: 
    # Execute the SQL command 
    cursor.execute(sql) 
    # Commit your changes in the database 
    db.commit() 
except: 
    # Rollback in case there is any error 
    db.rollback() 

rows = cursor.fetchall() 

the=int(7) 
se=str('ok') 
for row in rows: 
    r=int(row[0]) 
    if r==the:   
     sql2 = """UPDATE student 
       SET f_name=%s 
       WHERE id_user = %s"""% (se,the) 

       # Execute the SQL command 
     cursor.execute(sql2) 
     # Commit your changes in the database 
     db.commit() 

     db.rollback() 
# disconnect from server 
db.close() 

當我運行它，我採取的錯誤是列名稱爲好，爲什麼？
任何人都可以幫我找到我做錯了嗎？

Answer 1

你應該像這樣運行查詢：

sql2 = """UPDATE student 
      SET f_name = %s 
      WHERE id_user = %s""" 
cursor.execute(sql2, (se, the)) 

不要使用字符串插值，讓數據庫驅動程序句柄傳遞參數給你。否則，你必須處理像這樣的語法錯誤，或者更糟糕的是，SQL注入。

更多詳細信息here。

Answer 2

str不會環繞其用引號引起爭論，所以你的說法是這樣的：

UPDATE student SET f_name=ok WHERE id_user = 7 

時，它需要是這樣的：

UPDATE student SET f_name='ok' WHERE id_user = 7 

所以，要麼改變這一行：

   SET f_name=%s 

對此：

   SET f_name='%s' 

要不改變這一行：一旦你開始使用用戶提供的數據

se="'" + str('ok') + "'" 

雖然我建議你閱讀有關SQL injection，這將成爲一個問題：

se=str('ok') 

本而不是硬編碼的值。

Answer 3

你應該總是用引號括起你的數據。

除了％s完全使用'％s'之外，您不需要的唯一類型是數字類型，但即使在那裏，我也會將％d與'％d'相加，因爲它更節省。

在插入或更新數據到數據庫之前，至少應該使用db.escape_string（your_data）。

或者看看MySQLdb的的使用PDO風格：

http://mysql-python.sourceforge.net/MySQLdb.html#some-examples

c=db.cursor() 
max_price=5 
c.execute("""SELECT spam, eggs, sausage FROM breakfast 
     WHERE price < %s""", (max_price,))