我声明了从tkinter Entrys获得的变量,并使用MySql连接器。现在我想知道如何生成SQL语句并将其打印出来。这就是我所知道的:
def suche():
isbn = ISBNE.get()
vnr = VNRE.get()
titel = TitelE.get()
Genre = GenreE.get()
autorvor = AutorE.get()
#cursor.execute("SELECT * FROM bücher WHERE titel LIKE \""+titel+"\" AND
#AutorVorname LIKE \""+autorvor+"\" AND isbn LIKE\""+isbn+"\"")
cursor.execute("SELECT * FROM bücher WHERE titel LIKE '%s'" % titel)
row = cursor.fetchone()
while row!=None:
print(row)
row = cursor.fetchone()
print(isbn)
但这对我不管用
不应使用简单的字符串格式来构造SQL查询字符串。改用参数化查询:
参见文档here
这背后的原因是SQL注入,一个有趣的解释可以在这里找到:https://xkcd.com/327/。Sql注入非常危险,可能会损坏数据库
基于行的获取和打印数据描述为here:
未测试的伪代码:
您可以从每个
row
中提取您的isbn、vnr、标题和流派,然后以其他方式存储它们—或者将其复制到您自己的数据结构中:相关问题 更多 >
编程相关推荐