Discussion :

[Daviloppeur]

Bonjour,

J'utilise le module mysql.connector pour communiquer avec une bdd mysql.

La connexion se passe bien mais je voudrais faire une requête pour insérer du texte contenant plusieurs apostrophes et guillemets et cela plante.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
content = "Ici ça marche"
query = ("INSERT INTO `mabase`.`matable`(`key`, `value`) VALUES('test', '" + content + "')")
cursor_new.execute(query_create_pad)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
content = "Ici ça marche plus car je rajoute un ' "
query = ("INSERT INTO `mabase`.`matable`(`key`, `value`) VALUES('test', '" + content + "')")
cursor_new.execute(query_create_pad)

Il faudrait échapper le contenu de content mais j'ai beaucoup d'apostrophes et guillemets. Il existe un moyen simple d'échapper la ligne pour l'insérer directement ? Ou une autre méthode ?

Merci par avance

[wiztricks]

Salut,

Il faudrait échapper le contenu de content mais j'ai beaucoup d'apostrophes et guillemets. Il existe un moyen simple d'échapper la ligne pour l'insérer directement ? Ou une autre méthode ?

Il pourrait y avoir des difficultés pour écrire une chaîne de caractères "littérale" contenant des " et des '.
Mais dans votre cas, "content" est déjà construite et la question est de la passer telle qu'elle est... au pilote de la base de donnée.
Pour çà, il faut commencer par ouvrir un tuto. qui explique comment le faire avec mysql.connector.

- W

[flapili]

regarde les binds de variable, un petit exemple tiré d'un de mes codes

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
parameters = {
	"id": m.id,
	"author_id": m.author.id,
	"channel_id": m.channel.id,
	"created_at": int(m.created_at.timestamp()),
	"reactions": json.dumps([(str(r.emoji), r.count) for r in m.reactions]),
}
await db.execute("""REPLACE INTO message VALUES(:id, :author_id, :channel_id, :created_at, :reactions)""", parameters)

dans mon cas j'utilise aiosqlite mais le principe est le même, execute peux prendre un second paramètre.
tu peux aussi utiliser des ? à la place des :key si tu passe un tuple/liste à la place d'un dictionnaire.

Et surtout évite d'utiliser %s comme on peut voir encore, c'est déprécié maintenant.

Edit, avec le triple quote aucun problème avec des guillemets ou apostrophes

[wiztricks]

Salut,

Et surtout évite d'utiliser %s comme on peut voir encore, c'est déprécié maintenant.

C'est pas déprécié pour les pilotes de base de données...
Et si aiosqlite permet de construire ses requêtes d'une certaine façon, mysql.connector pourra en avoir choisi une autre (donc ouvrir la documentation... avant de dire des bêtises).

- W

[flapili]

C'est pour éviter (ou du moins limiter) des attaques par injection SQL il est recommandé d'utiliser les placeholders question mark (?) ou les named placeholders (:key) plutôt que le %s.
Les placeholders questions mark sont supportés par quasiment tous les SGBD(R), attention ce n'est pas encore le cas pour les named où c'est suivant les envies de la maison ...

[wiztricks]

C'est pour éviter (ou du moins limiter) des attaques par injection SQL il est recommandé d'utiliser les placeholders question mark (?) ou les named placeholders (:key) plutôt que le %s.

Il est juste recommandé de ne pas construire et passer une chaîne de caractères mais de faire faire le boulot au pilote.
Pour çà, il faut bien sûr qu'il y ait de quoi lui préciser quoi faire et choisir un ou plusieurs "paramstyle".

Les placeholders questions mark sont supportés par quasiment tous les SGBD(R), attention ce n'est pas encore le cas pour les named où c'est suivant les envies de la maison ...

Pas de bol, mysql.connector ne supporte que named et format (et pas qmark).

- W

[jmbain]

Il faut faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
key = 'test'
content = "Ici ça marche plus car je rajoute un ' "
query = ("INSERT INTO `mabase`.`matable`(`key`, `value`) VALUES(%s, %s)")
cursor_new.execute(query,(key,content))

Les %s vont être remplacés à l'exécution par le code qui va bien en tenant compte du contenu.
D'une manière générale, il ne faut jamais utiliser des requêtes avec des contenus, mais utiliser les chaînes de formatage (%s), afin d'éviter des problèmes de piratage de bdd.
Surtout s'il s'agit d'un serveur web.

[wiztricks]

Il faut faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
key = 'test'
content = "Ici ça marche plus car je rajoute un ' "
query = ("INSERT INTO `mabase`.`matable`(`key`, `value`) VALUES(%s, %s)")
cursor_new.execute(query,(key,content))

Vous avez essayé? çà fonctionne?
Quand je vois des "`" dans INSERT INTO `mabase`.`matable`(`key`, `value`) VALUES(%s, %s)", je suis sûr que non...

Si vous voulez faire le boulot du PO autant le faire correctement et çà commence par lire un tuto. puis coder et tester,...

- W

[jmbain]

La question portait sur le contenu de "content".
Bien sûr que ma réponse fonctionne ! C'est de l'utilisation courante de bdd en python.
S'il y a des erreurs ailleurs dans le code, je compte sur vous pour nous indiquer la correction...
On obtiendra ainsi un sujet complet et utile.

[jmbain]

Qu'est-ce que c'est au fait le PO ?

[wiztricks]

S'il y a des erreurs ailleurs dans le code, je compte sur vous pour nous indiquer la correction...
On obtiendra ainsi un sujet complet et utile.

Si vous n'avez pas le temps d'installer MySQL, mysql.connector, et de tester.... moi non plus.
Un sujet contiendrait: "voilà j'ai codé ... en m'inspirant de la documentation et çà retourne le message d'erreur tartemolle (ou autre)."
C'est ce qu'aurait pu répondre l'auteur du Post Originel à ma suggestion...

- W

[Daviloppeur]

Merci pour vos réponses.
J'ai réussi à faire marcher mon programme en suivant vos indications.

J'avais vu cette documentation, mais étais passé trop rapidement dessus.