erreur de guillemet lors de l'insertion dans SQL

Version imprimable

Voir 40 message(s) de cette discussion en une page

23/03/2023, 21h03
papajoker
Citation:
Envoyé par figuedi

J'ai trouvé la solution sur la toile il fallait mettre des ' autour %s quand tu attends des strings et en effet j'ai la même erreur

Code:

1 2 cursor.execute("""INSERT INTO jeu (Nom,Force) VALUES ('%s',%s)""" % (nom.Nom,nom.F))

[/CODE]
:roll::roll::roll::roll::roll:

Tu trouves sur la toile ce qu'il ne faut pas faire, et malgré mes dires, cela ne te pose aucun problème

https://www.psycopg.org/docs/usage.html#sql-injection
Citation:
Warning Never, never, NEVER use Python string concatenation (+) or string parameters interpolation (%) to pass variables to a SQL query string. Not even at gunpoint.
The correct way to pass variables in a SQL command is using the second argument of the execute() method

...
The Python string operator % must not be used: the execute() method accepts a tuple or dictionary of values as second parameter. Never use % or + to merge values into queries:

Code:

1 2 >>> cur.execute("INSERT INTO numbers VALUES (%s, %s)" % (10, 20)) # WRONG >>> cur.execute("INSERT INTO numbers VALUES (%s, %s)", (10, 20)) # correct
Qui t'a menacé de mort pour utiliser ce code trouvé sur le web ? Ils sont pourtant clair !

-------
je te l'avais dit que ton problème était maintenant coté sql et plus python, mais tu préfères utiliser du mauvais code pris au hasard…
Note: existe un forum sql ici.

################################################

Ne le prends pas pour toi.

j'ai connu les "belles" années php : les codeurs commençaient par php et comme toi, préféraient copier un code douteux (ils n'avaient pas le niveau pour le savoir) que de lire les doc. Résultat, php a entrainé une décennie de mauvaises pratiques. Maintenant, les codeurs débutent avec python, il ne faut pas que python devienne ce même nid aux mauvaises pratiques.
23/03/2023, 22h34
CosmoKnacki
Citation:

Envoyé par figuedi

Et en fait c'était le nom du champ Force qui est réservé et qui me bloquait.

Oui, mais ça c'est pas super grave, car si par inadvertance ou méconnaissance (ou bien parce que tu veux vraiment l'appeler comme ça) tu te retrouves avec un nom de colonne qui est un mot-clef SQL ou un mot réservé (pour MySQL 8.0 ils sont consultables ici), il suffit d'encadrer le nom de colonne avec des backticks, comme ceci: INSERT INTO jeu (Nom, `Force`, ... pour lever l'ambiguïté.

Nota bene (et spiritus sancti): Dans le jargon des bases de données, on ne dit pas "un champ" mais "une colonne".
Citation:
Envoyé par figuedi

J'ai trouvé la solution sur la toile il fallait mettre des ' autour %s quand tu attends des strings et en effet j'ai la même erreur

Code:

1 2 cursor.execute("""INSERT INTO jeu (Nom,Force) VALUES ('%s',%s)""" % (nom.Nom,nom.F))
Non!

Tu es tombé dans un piège: celui du double sens de %s dans ce cas précis:
- En dehors du SQL, %s est utilisé dans les chaînes formatées en Python:
  Code:
  
  1 2 3 4 nom = 'Laurence' plat = 'blanquette de veau' myFormattedString = '%s a mangé trop de %s' print(myFormattedString%(nom, plat))
  (Le % marque qu'on applique un tuple sur la chaîne formatée pour qu'elle remplace les placeholders %s par les valeurs du tuple).
  Ce qui est pratique lorsqu'on veut répéter x fois la même chaîne avec des noms ou des plats différents.
- Par contre dans le cadre SQL avec la méthode execute, %s est tout autre chose et il ne faut pas le confondre avec le précédent. C'est toujours un placeholder, mais on ne lui applique pas le tuple avec le signe % pour fabriquer un chaîne et tout passer en un seul paramètre. On utilise 2 paramètres.
  Ça permet de séparer la requête SQL (disons son squelette), des données qui vont y figurer. C'est pourquoi la méthode execute dispose de deux paramètres (séparés d'une virgule):
  - le premier pour le squelette
  - le second pour les données
  .
  L'intérêt de cette séparation en deux paramètres distinctes est justement de s'affranchir des problèmes de quotes, d'échappements et que sais-je encore... car c'est la méthode execute qui s'en chargera toute seule comme une grande!
Il faut donc écrire:
Code:

1 2 cursor.execute("""INSERT INTO jeu (Nom, `Force`) VALUES (%s, %s)""", (nom.Nom, nom.F))
Juste pour illustrer, en PHP on fait exactement la même chose sauf que le placeholder n'est pas %s mais ?:
Code:

1 2 $stmt = $mysqli->prepare('INSERT INTO jeu (Nom,`Force`) VALUES (?,?)'); $stmt->execute([$nom->Nom, $nom->F]);
Le squelette de la requête et les données sont séparés.

Et pour les chaînes formatées:
Code:

1 2 3 4 $nom = 'Laurence'; $plat = 'blanquette de veau'; $myFormattedString = '%s a mangé trop de %s'; printf($myFormattedString, $nom, $plat);
23/03/2023, 23h48
binarygirl

Accessoirement: perdez cette sale habitude d'utiliser le compte root pour la DB. Créez un utilisateur restreint avec droits read/write seulement sur sa DB.
Au cas où votre application est compromise (injection SQL), vous ne pourrez peut-être pas empêcher un attaquant d'exfiltrer votre DB, mais vous pourriez l'empêcher d'aller plus loin et prendre le contrôle total du serveur.
L'utilisateur root a certains droits intéressants pour un hacker comme la possibilité de lire et écrire des fichiers, ce qui est utile pour uploader un webshell, consulter des fichiers de configuration sensibles ou ce genre de truc.

Voir 40 message(s) de cette discussion en une page