Discussion :

[LLEJEUNE1]

Bonjour à tous!

Je me bat depuis plusieurs jour avec une commande python 3.2 et une commande SQL.
si je code en dur la requête cela marche (j'utilise la concatenation pour arriver à mes fins),
mais d'après ce que j'ai vu sur plusieurs forum, pour des raison de sécurité, la "concatenation" de chaîne de texte pour obtenir une commande SQL est à proscrire (risque d'injection de code).


l'idée de ma fonction est la suivante:
dans ma Db j'ai une colonne "Designation" qui peux contenir une phrase (liste de produit), l'utilisateur, rédige dans un champ de saisi une liste de mot clé, cette liste est envoyé à ma fonction, et SQLITE me renvoie une liste d'enregistrement qui contienne ces mot clés
ci-dessous mon code.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
    def filter(self, string):
        liste = tuple(string.split())
        sql = " SELECT rec.Designation FROM RECETTE rec WHERE  {seq}; ".format(
            seq=' AND '.join(["rec.Designation LIKE '%?%' "] * len(liste)))
 
        print (sql)
        self.curseur.execute(sql, (liste,))

le message d'erreur renvoyé par SQLITE

"sqlite3.ProgrammingError: Incorrect number of bindings supplied. The current statement uses 0, and there are 2 supplied."

question est-ce que ce problèeme est liée à SQLITE ?


Par avance merci.

[fred1599]

Bonjour,

En admettant que vous utilisez sqlite3,

La documentation donne une idée de ce que vous devez faire et surtout la manière dont vous devez le faire.

Maintenant si vous ne respectez pas ce format, il ne faut pas s'étonner que ça ne fonctionne pas

[LLEJEUNE1]

Merci pour le retour, et le lien vers la doc... par contre je ne comprends pas l'aspect "formalisme " de votre réponse j'ai l'impression de l'avoir respecté (au parenthèses pré mais dans mes différents essais elle y sont passée ...)

Nota :la doc me donne la solution pour un nombre fini de paramètre, pour ma part, je ne connais pas par avance le nombre de paramètres demandé par l'utilisateur, d'ou l'utilisation de la fonction "join" dans mon "format". j'ai le droit à ça ou pas ?

après plusieurs test, pour arriver à un résultat correct, je suis obligé d'ajouter les "%" non plus dans la commande SQL mais dans la liste injecté dans la commande SQL.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
tmp=[]
        for elm in string.split():
            tmp.append("%{}%".format(elm))
        liste=tuple(tmp)

et ma commande SQL devient:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
sql = " SELECT rec.Designation FROM RECETTE rec WHERE  {seq}; ".format(
            seq=' AND '.join(["rec.Designation LIKE (?) "] * len(liste)))

est-ce normal ou je me suis pris les pieds dans le tapie ?

par avance merci.

[fred1599]

Découpez votre code,

Le résultat de,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

' AND '.join(["rec.Designation LIKE '%?%' "] * len(liste))

fait-il ce que vous souhaitez ?

[LLEJEUNE1]

Pour avoir un résultat qui correspond à mes attentes, j'ai besoin des "%" de la fonction LIKE.
de plus qu est ce que vous entendez par "decoupez votre code ?"

[fred1599]

Et avec l'opérateur IN ?