SQLITE injection avec une liste d'arguments

Version imprimable

Bonjour à tous!

Je me bat depuis plusieurs jour avec une commande python 3.2 et une commande SQL.
si je code en dur la requête cela marche (j'utilise la concatenation pour arriver à mes fins),
mais d'après ce que j'ai vu sur plusieurs forum, pour des raison de sécurité, la "concatenation" de chaîne de texte pour obtenir une commande SQL est à proscrire (risque d'injection de code).

l'idée de ma fonction est la suivante:
dans ma Db j'ai une colonne "Designation" qui peux contenir une phrase (liste de produit), l'utilisateur, rédige dans un champ de saisi une liste de mot clé, cette liste est envoyé à ma fonction, et SQLITE me renvoie une liste d'enregistrement qui contienne ces mot clés
ci-dessous mon code.
Code:

1 2 3 4 5 6 7 def filter(self, string): liste = tuple(string.split()) sql = " SELECT rec.Designation FROM RECETTE rec WHERE {seq}; ".format( seq=' AND '.join(["rec.Designation LIKE '%?%' "] * len(liste))) print (sql) self.curseur.execute(sql, (liste,))
le message d'erreur renvoyé par SQLITE

Citation:

"sqlite3.ProgrammingError: Incorrect number of bindings supplied. The current statement uses 0, and there are 2 supplied."

question est-ce que ce problèeme est liée à SQLITE ?

Par avance merci.

30/05/2019, 15h50
fred1599

Bonjour,

En admettant que vous utilisez sqlite3,

La documentation donne une idée de ce que vous devez faire et surtout la manière dont vous devez le faire.

Maintenant si vous ne respectez pas ce format, il ne faut pas s'étonner que ça ne fonctionne pas ;)
30/05/2019, 18h00
LLEJEUNE1
Merci pour le retour, et le lien vers la doc... par contre je ne comprends pas l'aspect "formalisme " de votre réponse j'ai l'impression de l'avoir respecté (au parenthèses pré mais dans mes différents essais elle y sont passée :?...)

Nota :la doc me donne la solution pour un nombre fini de paramètre, pour ma part, je ne connais pas par avance le nombre de paramètres demandé par l'utilisateur, d'ou l'utilisation de la fonction "join" dans mon "format". j'ai le droit à ça ou pas ?

après plusieurs test, pour arriver à un résultat correct, je suis obligé d'ajouter les "%" non plus dans la commande SQL mais dans la liste injecté dans la commande SQL.
Code:

1 2 3 4 tmp=[] for elm in string.split(): tmp.append("%{}%".format(elm)) liste=tuple(tmp)
et ma commande SQL devient:
Code:

1 2 sql = " SELECT rec.Designation FROM RECETTE rec WHERE {seq}; ".format( seq=' AND '.join(["rec.Designation LIKE (?) "] * len(liste)))
est-ce normal ou je me suis pris les pieds dans le tapie ?

par avance merci.
30/05/2019, 18h20
fred1599

Découpez votre code,

Le résultat de,

Code:

' AND '.join(["rec.Designation LIKE '%?%' "] * len(liste))

fait-il ce que vous souhaitez ?
30/05/2019, 18h26
LLEJEUNE1

Pour avoir un résultat qui correspond à mes attentes, j'ai besoin des "%" de la fonction LIKE.
de plus qu est ce que vous entendez par "decoupez votre code ?"
30/05/2019, 18h32
fred1599

Et avec l'opérateur IN ?
30/05/2019, 18h40
LLEJEUNE1

l'opérateur 'IN', sauf erreur de ma part est l'équivalent d'un "OU", moi je cherche un "ET"

si je reviens sur mon pseudo exemple,

|DESIGNATION|
|oeuf beurre chocolat |
|tomate oignon beurre|
| salade oeuf |

l'idée est si l'utilisateur entre oeuf et chocolat dans la liste, il me retourne seulement la ligne 1.
30/05/2019, 19h11
fred1599

Tu as qu'une seule colonne ?

Si c'est le cas, il faut récupérer l'ensemble des lignes, splitter et tester avec du python. Pour moi dans ce cas, il n'y a pas besoin d'opérateur logique dans la requête.

Code:

SELECT designation FROM table;
30/05/2019, 19h34
wiztricks
Salut,

Vous avez plusieurs problèmes.
Le premier est de passer des '%' pour entourer le paramètre qui sera passé au LIKE.

Code:

.execute("SELECT .... LIKE ?", ('%' + string + '%', ))

le 2nd est d'en mettre plusieurs:
Code:

1 2 >>> 'select...' + ' OR '.join(['like ?'] * 2) 'select...like ? OR like ?
'
Et voilà comment on décompose...

- W