Discussion :

[Ren97]

Bonsoir,

Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
 
data =[(17,"Durand",1.74),(22,"Berger",1.71),(20,"Weber",1.65)] 
for tu in data:
    cur.execute("INSERT INTO membres(age,nom,taille) VALUES(?,?,?)", tu)

J'utilise plusieurs tables avec les mêmes noms de colonnes et je souhaiterais utiliser cette fonction avec le nom des tables en variable.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
("INSERT INTO var(age,nom,taille) VALUES(?,?,?)",

Possible ?

Merci

[PauseKawa]

Bonjour,

C'est une chaîne de caractère donc : possible ? oui.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
data = [(17, "Durand", 1.74), (22, "Berger", 1.71), (20, "Weber", 1.65)]
tables = ('toto', 'tata', 'tutu')
for t in tables:
    for tu in data:
        print("INSERT INTO %s(age,nom,taille) VALUES(?,?,?)" % t, tu)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
('INSERT INTO toto(age,nom,taille) VALUES(?,?,?)', (17, 'Durand', 1.74))
('INSERT INTO toto(age,nom,taille) VALUES(?,?,?)', (22, 'Berger', 1.71))
('INSERT INTO toto(age,nom,taille) VALUES(?,?,?)', (20, 'Weber', 1.65))
('INSERT INTO tata(age,nom,taille) VALUES(?,?,?)', (17, 'Durand', 1.74))
('INSERT INTO tata(age,nom,taille) VALUES(?,?,?)', (22, 'Berger', 1.71))
('INSERT INTO tata(age,nom,taille) VALUES(?,?,?)', (20, 'Weber', 1.65))
('INSERT INTO tutu(age,nom,taille) VALUES(?,?,?)', (17, 'Durand', 1.74))
('INSERT INTO tutu(age,nom,taille) VALUES(?,?,?)', (22, 'Berger', 1.71))
('INSERT INTO tutu(age,nom,taille) VALUES(?,?,?)', (20, 'Weber', 1.65))

@+

[Ren97]

Salut et merci pour la réponse.

N'est-il pas préférable d'utiliser les "?" au lieu des "%s" pour eviter les injections ?

[PauseKawa]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
tables = ('toto', 'tata', 'tutu')
for t in tables:

Je ne vois pas d'injection possible.

[Ren97]

Quand j'essai dans tous les sens de mettre les "?", j'ai que des messages d'erreur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
 
t='membres'
r='durand'
 
cur.execute("SELECT * FROM ? WHERE col MATCH ?", (t, r))
for n in cur :
    print(n)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sqlite3.OperationalError: unable to use function MATCH in the requested context

[tyrtamos]

Bonjour,

A ma connaissance, on ne peut utiliser les '?' que pour des valeurs de la base de données, et non des noms de tables ou des noms de colonnes.

Contrairement à cela, la substitution avec des '%' fait partie du langage Python (traitement de chaines): on fait alors ce qu'on veut, y compris paramétrer les noms de tables, de colonnes, et même l'instruction SQL elle-même.

[Ren97]

En fait, je voulais utiliser les "?" car j'ai lu sur plusieurs forums que les "%s" rendaient la db vulnerable aux Injections SQL.

Merci à tous.