Q

SQL排序，字符串格式化不工作

2014-01-27 35 views 1 likes

1

所以我有這樣的SQL，它的工作原理：SQL排序，字符串格式化不工作

cursor.execute('select * from video_title_difference where title like 
       %s order by provider desc limit %s offset %s', 
       ('%' + search + '%', limit, offset))

，但如果我改變ORDER BY變量（現在的「供應商」）給一個變量，它不工作在所有：

cursor.execute('select * from video_title_difference where title like %s 
       order by %s limit %s offset %s', 
       ('%' + search + '%', order_by, limit, offset))

它'工作'，但它並沒有命令它。我在這裏做錯了什麼？

2014-01-27 David542

A

回答

2

問題是您正試圖設置一個表作爲參數。

表名不能被參數化。

我的方法是在代碼中對錶名進行硬編碼，您需要明白，使用表名會導致安全問題，特別是如果它來自用戶。

我會添加對這個問題的一些帖子：

2014-01-27 07:47:12

相關問題

1. SQL字符串格式化程序
2. Linq排序按字符串不工作
3. Nsdate從字符串格式不工作
4. 字符串格式不工作
5. VS2017 VB.NET格式字符串不工作
6. 的DataGridView cellFormat工作不格式化舊字符串新的字符串 - C＃
7. 格式化SQL Server中的字符串
8. Sql格式化問題字符串
9. Oracle PL/SQL字符串格式化
10. C＃SQL字符串格式化