Discussion :

[davguez]

Bonjour a tous,
J'ai commencé un projet utilisant pysqlite recemment. En lisant la documentation de cette bibliothèque, je suis tombé sur un truc me disant qu'il ne FALLAIT surtout pas passer des requetes SQL construites directement via python, mais plutôt utiliser la forme avec placeholder de la methode execute ou executemany.
Donc, en gros plutot que de faire:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
nom = 'larousso'
sql_statement = 'SELECT * FROM chanteurs WHERE name= ' + nom
connection.execute(sql_statement)

il faut faire (c'est mieux)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
nom = 'larousso'
sql_statement = 'SELECT * FROM chanteurs WHERE name= ?'
connection.execute(sql_statement,nom)

parce que ca rend mon code moins sensible aux injection SQL des méchants.
Certe, ca me parait logique. Je suppose que ça me permet d'éviter d'avoir à remplacer tous les ' ou les " de 'nom' (genre dans jojo l'etrangleur) par un \' ou un truc du genre.
Soit.
Maintenant si je veux utiliser ce code pour faire une recherche dans un liste,
il me faudrait un truc du genre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
noms = ( 'larousso' , " jojo l'etrangleur" , ' marc' , 'sophie' )
sql_statement = 'SELECT * FROM chanteurs WHERE name IN (?)'
connection.execute(sql_statement,noms)

qui bien sur ne marche pas. En gros je voudrais qu'il (pyhton) remplace le < ? > par une liste ('larousso' , ' jojo l\'etrangleur' , 'marc' , ' sophie' )

mais est-ce possible ?

Merci a tous...

[wiztricks]

Salut,

En le faisant "à la main", cela devrait s'écrire:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
sql_statement = 'SELECT * FROM chanteurs WHERE name IN (?, ?, ?, ?)'
connection.execute(sql_statement, 'larousso' , " jojo l'etrangleur" , ' marc' , 'sophie' )

Si on veut passer à execute une liste de noms, çà devient:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
noms = [ 'larousso' , " jojo l'etrangleur" , ' marc' , 'sophie' ]
sql_statement = 'SELECT * FROM chanteurs WHERE name IN (?, ?, ?, ?)'
connection.execute(sql_statement, *noms)

Reste à construire sql_statement en fonction de la longueur de la liste noms.
Qu'en pensez vous?
- W

[davguez]

merci, wiztricks
oui effectivement, cette méthode conserve le bénefice des ne pas avoir à me préoccuper de gérer les échappements des guillemets (enfin je pense... je ne me trompes pas n'est-ce pas???).
Je ne connais pas bien python et cette forme avec un prefix * devant <noms> m'est encore inconnu... je regarde ça tout de suite...
Bon ma paresse naturelle est légèrement insatisfaite de ne pas pouvoir échapper au travail de création dynamique du (?,?,..) mais bon j'exagère un peu là.
En tout cas merci pour cette réponse...