Desarrollo de Python
  1. Desarrollo de Python
  3. La ejecución de SQL sin procesar contra SQLite con resultados de Django en `DatabaseError: cerca de“? ”: Error de syntax`
Intereting Posts
¿Cómo verifico que una cadena solo contenga letras, números, guiones bajos y guiones? Paramiko “Comando no válido” cuando se intenta un comando no estándar para Vyatta Variables globales y multiproceso de Python Usando Selenium en Python para hacer clic en todos los elementos con el mismo nombre de clase Cómo leer un archivo grande, línea por línea, en Python Cómo modificar el documento fotografiado para que se vea “escaneado” error: no se pudo crear ‘/Library/Python/2.7/site-packages/xlrd’: permiso denegado Scrapy, etiqueta hash en URLs Python: Matplotlib – diagtwig de probabilidad para varios conjuntos de datos Forma de entrada de neural network LSTM desde el dataframe Búsqueda binaria en una lista de Python Problema al importar matplotlib.mlab y .pyplot en python 2.7 en Mac OSX 10.6 punto muerto debido al locking del método Queue.get () ¿Cómo simular una solicitud de publicación HTTP utilizando el módulo de solicitudes de Python? ¿El mecanismo de lematización reduce el tamaño del cuerpo?

La ejecución de SQL sin procesar contra SQLite con resultados de Django en `DatabaseError: cerca de“? ”: Error de syntax`

Por ejemplo, cuando uso el cursor.execute() como se documenta : 

 >>> from django.db import connection >>> cur = connection.cursor() >>> cur.execute("DROP TABLE %s", ["my_table"]) django.db.utils.DatabaseError: near "?": syntax error

Cuando no se utiliza la sustitución de argumentos de Django, la consulta funciona como se esperaba: 

 >>> cur.execute("DROP TABLE my_table") django.db.utils.DatabaseError: no such table: my_table

¿Qué estoy haciendo mal? ¿Cómo puedo hacer que funcionen las consultas parametrizadas?

Notas:

  • Sufilando la consulta con ; no ayuda
  • Según la documentación, se debe usar %s , no SQLite ? (Django traduce %s ? )

No puede usar parámetros en sentencias de SQL en lugar de identificadores (nombres de columnas o tablas). Solo puedes usarlos en lugar de valores únicos.

En su lugar, debe usar SQL dynamic para construir la cadena SQL completa y enviarla, sin parametrizar, a la base de datos (tenga mucho cuidado de evitar la inyección si el nombre de la tabla se origina fuera de su código).

No puede sustituir metadatos en consultas parametrizadas.