[SQLITE] passer une variable pour ma table

**Kexian_** · 12/04/2012, 21h09

Bonjour, je suis nouveau dans le monde de python, et j'essaie désespérément de faire passer une variable pour le nom de ma table, dans ma requête SQL...

J'ai essayé diverses choses au niveau syntaxe, en partant de ces deux modèles :
table = "table1"
cursor.execute('''SELECT nom FROM (?)''', table)
cursor.execute('''SELECT nom FROM %s''', % table)

J'ai toujours une erreur de syntaxe.
sqlite3.OperationalError: near "%": syntax error

J'ai besoin de faire ça car je vais passer une fonction avec comme argument le nom de la table qui m'intéresse.

Si quelqu'un à une idée ... je suis à court.

**tyrtamos** · 12/04/2012, 21h45

Bonjour,

Il y a une virgule en trop dans le 2e cas:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

cursor.execute('''SELECT nom FROM %s''' % table)

**Kexian_** · 12/04/2012, 22h54

Effectivement, merci, ça fonctionne, comme quoi quand on bloque sur un truc on voit plus rien :p

Par contre, si ma chaîne de caractère comprend un ' (simple quote), j'ai une erreur, comment échapper les quotes dans une variable comme ça ?

**tyrtamos** · 13/04/2012, 05h50

Bonjour,

Il faut voir si cette erreur est une erreur Python ou sqlite.

Si c'est une erreur Python, on peut utiliser des triples guillemets (c'est ce que j'utilise):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

cursor.execute("""SELECT nom FROM %s""" % table)

Les triples guillemets (ou triples quotes) ont l'avantage de permettre la présentation dans le code source des requêtes sql complexes en plusieurs lignes.

Mais l'autre forme marchait quand même, à condition que la dernière quote ne soit pas accolée aux 3 quotes.

A noter que la documentation recommande, pour des raisons de sécurité (éviter les injections), d'utiliser plutôt la forme avec les '?':

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

cursor.execute("""SELECT nom FROM ? """, (table,))

Mais avec une application "fermée" et sqlite, la 1ère forme est probablement acceptable.

Si c'est une erreur sqlite: donne l'erreur et un exemple de données.

**Kexian_** · 13/04/2012, 18h57

Merci à vous deux pour vos réponses, effectivement j'avais vu que pour éviter les injections, il fallait plutôt utiliser ?, c'est donc ce que j'ai fait, et je n'avais pas bien compris je pense, mais en mettant ma variable comme une liste :

'''SELECT nom FROM table WHERE condition=?''', [variable])

Cela fonctionne très bien (l'exemple que je donne n'est pas pour la table, mais au final, mon problème portait surtout sur la syntaxe), donc c'est résolu, merci

[SQLITE] passer une variable pour ma table

Python

Discussions similaires

Partager

Partager