1.使用示例
import psycopg2
# 建立数据库连接
conn = psycopg2.connect("dbname=test user=postgres")
# 开启游标操作数据库
cur = conn.cursor()
# 建表
cur.execute("CREATE TABLE test (id serial PRIMARY KEY, num integer, data varchar);")
# 传递参数给sql语句占位符,执行该sql语句(可避免sql注入)
cur.execute("INSERT INTO test (num, data) VALUES (%s, %s)",(100, "abc'def"))
# 查询sql,从查询结果获取数据
cur.execute("SELECT * FROM test;")
cur.fetchone()
#(1, 100, "abc'def")
# 提交
conn.commit()
# 关闭数据库连接
cur.close()
conn.close()
2.向sql语句传递参数
1)第一个参数sql语句,使用%s作占位符;第二个参数为元组或数组,待传递参数。
cur.execute("""
INSERT INTO some_table (an_int, a_date, a_string)
VALUES (%s, %s, %s);
""",
(10, datetime.date(2005, 11, 18), "O'Reilly"))
2)第一个参数sql语句,使用%(name)s作占位符;第二个参数为dict,待传递参数。
cur.execute("""
INSERT INTO some_table (an_int, a_date, another_date, a_string)
VALUES (%(int)s, %(date)s, %(date)s, %(str)s);
""",
{'int': 10, 'str': "O'Reilly", 'date': datetime.date(2005, 11, 18)})
3)sql注入
SQL = "INSERT INTO authors (name) VALUES ('%s');" # NEVER DO THIS
data = ("O'Reilly", )
cur.execute(SQL % data) # 错误使用方法
SQL = "INSERT INTO authors (name) VALUES (%s);" # Note: no quotes
data = ("O'Reilly", )
cur.execute(SQL, data) # 正确使用方法,使用两个参数,可以避免sql注入
3.python数据类型适应psycopg数据类型
