正確的Postgresql語法

Question

我是一名postgres新手，在使用Python查詢postgresql中的文本字段時遇到了一些問題。什麼是正確的語法，將允許我從表「jivemessage」中的數據庫「postgres」搜索列「body」的內容？

try: 
    conn = psycopg2.connect("dbname='postgres' user='postgres' host='localhost' password='<password>'") 

except: 
    print "cannot connect" 

i = 'test' 
cur = conn.cursor() 

cur.execute('SELECT * from jivemessage WHERE body LIKE "%'+i+'%"') 

不斷收到以下錯誤：

ProgrammingError: column "%test%" does not exist 

感謝您的幫助。

Answer 1

您沒有正確引用查詢。這裏不要使用字符串連接，使用SQL parameters代替：

cur.execute('SELECT * from jivemessage WHERE body LIKE %s', ("%{}%".format(i),)) 

這裏，%s佔位符信號到數據庫驅動程序，第二個參數的第一個值應查詢時，可以放在那裏。

這使插值直到數據庫驅動程序，即使您要重複使用相同的查詢，數據庫也有機會優化查詢一次。

它還可以防止SQL注入攻擊比你自己更好，最重要的是，可以確保遵循正確的引用規則。