问题:
python调用sqlite3数据库需要使用like模糊查询,一条普通的like查询语法如下:
SELECT * FROM article WHERE content LIKE '%python%'- 1
放在程序中,使用sqlite3的查询语句大概变成下面这样:
conn.execute("SELECT * FROM article WHERE content LIKE '%?%'",(value,))- 1
然后执行会报以下的错误:
sqlite3.ProgrammingError: Incorrect number of bindings supplied. The current statement uses 0, and there are 1 supplied.- 1
意思是你没使用statement,但却提供了一个statement参数,这是因为statement占位符”?”处在双引号和单引号的双重包裹之中,检测不出来是个占位符!
首先一点,sql语句拼接可以方便的解决这个问题,但是肯定留下一个注入点,十分不安全,是绝对不能使用的。
最终
解决方案
conn.execute("SELECT * FROM article WHERE content LIKE ?", ('%' + value + '%',))- 1
巧妙的使用普通statement占位符”?”,传入值时使用拼接的”%value%”形式,完美的解决了问题,其它类似问题也可以借鉴这个思想。