在Python中安全高效地将变量应用于PostgreSQL SQL语句

本文旨在指导开发者如何在python的psycopg2库中正确地将变量嵌入到postgresql sql语句中，避免常见的`typeerror`错误，并强调使用占位符（`%s`）进行参数化查询的重要性。通过具体代码示例，文章详细阐述了如何安全、高效地构建动态sql查询，从而有效防止sql注入攻击，并确保数据类型处理的准确性。

在Python应用程序中与PostgreSQL数据库交互时，经常需要根据程序运行时的数据动态构建SQL查询。然而，不恰当的变量使用方式不仅会导致程序错误，还可能引发严重的安全漏洞，如SQL注入。本教程将详细介绍在psycopg2库中正确、安全地将Python变量应用于SQL语句的方法。

常见错误及其原因

许多初学者在尝试将变量插入SQL查询时，可能会直观地将其作为cursor.execute()函数的额外参数传入，如下所示：

import psycopg2

# 假设 inputed_email 是一个从用户输入获取的变量
inputed_email = "test@example.com"

try:
    conn = psycopg2.connect("dbname=postgres user=postgres password=postgres")
    cur = conn.cursor()

    # 错误示例：直接将变量作为 execute() 的第三个参数传入
    cur.execute("SELECT password FROM user WHERE email = ", inputed_email, ";")
    print(cur.fetchone())

except TypeError as e:
    print(f"发生TypeError: {e}")
except Exception as e:
    print(f"发生其他错误: {e}")
finally:
    if 'cur' in locals() and cur:
        cur.close()
    if 'conn' in locals() and conn:
        conn.close()

登录后复制

执行上述代码会产生TypeError: function takes at most 2 arguments (3 given)的错误。这个错误的原因在于cursor.execute()函数的设计：

1. 参数数量限制：execute()函数最多接受两个参数。第一个参数是SQL查询字符串，第二个参数（可选）是一个序列（列表或元组），用于传递查询中的参数值。直接将变量作为第三个参数传入，违反了函数的签名。
2. 不正确的变量替换机制：psycopg2以及大多数数据库适配器，不通过简单的字符串拼接或额外的函数参数来替换SQL中的变量。这样做不仅容易出错，更重要的是，它为SQL注入攻击打开了大门。

正确使用占位符进行参数化查询

为了安全且正确地将Python变量应用于SQL语句，psycopg2库推荐使用占位符（%s）和参数序列的方式。

立即学习“Python免费学习笔记（深入）”；

标签： word python ai sql注入 邮箱 sql语句 防止sql注入