Python 初学，求教一个关于 MySQLdb 转义字符的问题

推荐学习书目

Learn Python the Hard Way

Python Sites

PyPI - Python Package Index

http://diveintopython.org/toc/index.html

Pocoo

值得关注的项目

PyPy

Celery

Jinja2

Read the Docs

gevent

pyenv

virtualenv

Sentry

Shovel

Pyflakes

pytest

Python 编程

pep8 Checker

Styles

PEP 8

Google Python Style Guide

Code Style from The Hitchhiker's Guide

This topic created in 2417 days ago, the information mentioned may be changed or developed.

import MySQLdb v = 'abc' v = MySQLdb.escape_string(v) sql = f"UPDATE tab SET a='{v}'" print(sql)

以上代码输出：

UPDATE tab SET a='b'abc''

生成的　 SQL 明显不对啊．请问正确的转义方法是什么呢？

9 replies 2019-10-08 17:23:03 +08:00

hflyf123

Sep 29, 2019

>>> sql = "UPDATE tab SET a='{}'".format(v)
>>> sql
"UPDATE tab SET a='abc'"

silenceeeee

Sep 29, 2019

@hflyf123 当变量 v 不可信，需要转义一下呢？

hflyf123

Sep 29, 2019

>>> import MySQLdb
>>> v = 'abc'
>>> v = MySQLdb.escape_string(v)
>>> sql = "UPDATE tab SET a='{}'".format(v)
>>> sql
"UPDATE tab SET a='abc'"
没区别啊..我就是照着你这来的,你说的转义不是 escape_string 这个方法吗

silenceeeee

Sep 29, 2019

为什么我执行你说的代码，输出的是：　"UPDATE tab SET a='b'abc''"，而不是："UPDATE tab SET a='abc'"

welkinzh

Sep 29, 2019

你可以看看源码, 我记得
conn.execute(sql, (a, b)) 按照这种格式传入的变量 a,b 会被自动 escepe 的

silenceeeee

Sep 29, 2019

@welkinzh 我是尝试写一个 MySQL 操作类，需要对 str 类型的变量进行转义．你说的这个方法确实可以，但是我想弄清楚，我这里的 MySQLdb.escape_string() 用法错在哪里．

1462326016

Oct 6, 2019

据我所知，format 会自动将二进制转换为字符串，而 f 的方式不会这样做，所以打印出来会带有 b'abc'前缀。可以试试将 escape_string 后的字符串 type 下看看是什么类型的，然后 decode 下就好了

luckyc

Oct 8, 2019

问题描述的写法没问题,我这边正常输出
```
UPDATE tab SET a='abc'
```

silenceeeee

Oct 8, 2019

@l4ever 感谢回复．

我的 python 版本是 3，mysqlclient 版本是 1.4.4 ．

这里的 MySQLdb.escape_string(v) 返回的类型是 byte 类型的，也就是 b'abc'．这里需要 b'abc'.decode('utf-8') 一下就可以了．刚开始写 python，不是很清楚细节，大概可以确定的是：我这里期望 MySQLdb.escape_string(v) 在 python3 中返回个一个 unicode 类型的字符串，而这里返回了 python ２中默认的 byte 类型字符串．