psycopg2 генерирует неправильные команды для комментариев и схем

postgresql, psycopg2, python, sql, запрос

0

1

Продолжаю пытаться использовать библиотеку psycopg2. Проблема подкралась откуда не ждали.

Итак, код написан в соответствии с документацией:

https://www.psycopg.org/docs/usage.html

В которой сказано, что psycopg2 в методе execute() сама делает подстановки в SQL-запрос из переданного кортежа, и делает это правильно. Однако, по факту оказалось, что это не так.

Следующие ошибки демонстрируют, что psycopg2 не понимает где пользовательские данные, а где обращение к объектам. Она просто все подстановки анализирует на переданный базовый Python-тип, и вставляет данные соответственно этому типу. Если это строка - то она будет заключена в одинарные кавычки. Если целое число - будет вставлено число без кавычек.

А что делать, если в кортеже передано имя объекта БД, значение которого не нужно заключать в кавычки? Об этом авторы документации ничего не говорят.

Поэтому, например при использовании комментариев к таблице или при работе со схемами возникают ошибки:

Команды:

cursor.execute( "COMMENT ON TABLE %s IS 'version=%s';", (tableName, tableVersion) )

cursor.execute("CREATE SCHEMA IF NOT EXISTS %s;", (dbSchema,) )


Ошибки:

File "./sample.py", line 205, in setTableVersion
    cursor.execute( "COMMENT ON TABLE %s IS 'version=%s';", (tableName, tableVersion) )
psycopg2.ProgrammingError: ОШИБКА: ошибка синтаксиса at or near "'devices'
LINE 1: COMMENT ON TABLE 'devices' IS 'version=12';
                         ^

File "./sample.py", line 89, in connect
    cursor.execute("CREATE SCHEMA IF NOT EXISTS %s;", (dbSchema,) )
psycopg2.ProgrammingError: ОШИБКА: ошибка синтаксиса at or near "'service'
LINE 1: CREATE SCHEMA IF NOT EXISTS 'service';
                                    ^

В этих командах значения devices и service не должны заключаться в кавычки. Но они заключаются, чем и ломают саму команду.

Вопрос: а как же правильно передавать значения в execute() ?

←	ansible несколько действий под одним name

psycopg2 не имеет элемент sql?

→

https://www.psycopg.org/docs/usage.html#passing-parameters-to-sql-queries

Only query values should be bound via this method: it shouldn’t be used to merge table or field names to the query (Psycopg will try quoting the table name as a string value, generating invalid SQL). If you need to generate dynamically SQL queries (for instance choosing dynamically a table name) you can use the facilities provided by the psycopg2.sql module:

>>> cur.execute("INSERT INTO %s VALUES (%s)", ('numbers', 10))  # WRONG
>>> cur.execute(                                                # correct
...     SQL("INSERT INTO {} VALUES (%s)").format(Identifier('numbers')),
...     (10,))

masa ★
(21.06.24 14:19:54 MSK)

Ты же вроде не айтишник, зачем хватаешься за SQL не понимая его совсем? Это же уязвимость на уязвимости и уязвимостью погоняет. Читай до просветления https://www.psycopg.org/docs/cursor.html

peregrine ★★★★★
(21.06.24 14:23:27 MSK)

Ответ на: комментарий от peregrine 21.06.24 14:23:27 MSK

Ты же вроде не учитель, зачем советуешь очевидные вещи, думаешь о них никто не знает?

Xintrea ★★★★★
(21.06.24 14:27:04 MSK) автор топика

Ответ на: комментарий от Xintrea 21.06.24 14:27:04 MSK

Ты же вроде не учитель

А вот тут мимо.

peregrine ★★★★★
(21.06.24 14:37:46 MSK)

Ответ на: комментарий от masa 21.06.24 14:19:54 MSK

Мда, «безопасность через неудобность», это надо было так постараться.

Для тех, кто эту тему найдет в надежде разобраться.

Если нужно сконструировать и выполнить запрос, состоящий как из имен объектов БД, так и из данных, хранимых в БД, проще всего это делать в два этапа. На первом этапе конструируется сам запрос:

import psycopg as sql

# Безопасная подстановка имен объектов БД при конструировании запроса
query = sql.SQL("select {field} from {table} where {pkey} = %s").format(
    field=sql.Identifier('my_name'),
    table=sql.Identifier('some_table'),
    pkey=sql.Identifier('id'))

На втором этапе происходит выполнение запроса, передавая ему данные через кортеж, чтобы метод execute() сам данные правильно проэкранировал:

# Подстановка значений в плейсхолдер %s    
cur.execute(query, (42,))

Этот подход работает потому, что метод execute() может принимать в первом пареметре как строку, так и объект запроса.

Xintrea ★★★★★
(21.06.24 14:47:56 MSK) автор топика

Ответ на: комментарий от peregrine 21.06.24 14:37:46 MSK

А вот тут мимо.

Ну тогда определись, учитель ты или айтишник, или у тебя профессиональная деформация включать свои условные рефлексы там где они не нужны.

Xintrea ★★★★★
(21.06.24 14:52:08 MSK) автор топика

Ответ на: комментарий от Xintrea 21.06.24 14:47:56 MSK

Мда, «безопасность через неудобность», это надо было так постараться

Как оподливиться и не подать виду (:

cobold ★★★★★
(21.06.24 15:06:28 MSK)

Ответ на: комментарий от cobold 21.06.24 15:06:28 MSK

Я тут начал методично составлять список токсиков. Теперь ты - почетный член, peregrine тоже.

Список самых токсичных русскоязычных АйТи ресурсов для разработчиков и специалистов

Xintrea ★★★★★
(21.06.24 15:28:46 MSK) автор топика

Ответ на: комментарий от Xintrea 21.06.24 15:28:46 MSK

Список токсиков – это полдела. Нужен ещё список дураков или тугодумов, образно говоря, тормозов. И ты этот список возглавляешь.

anonymous
(21.06.24 15:47:01 MSK)

Ответ на: комментарий от peregrine 21.06.24 14:23:27 MSK

Раньше думал ТС со странностями, но он похоже совсем упорот.

Вот до чего людей астралинукс доводит! /s

Ну и сколько существует в ЯП интерполяция строк, столько идиоты будут её упорно использовать вместо bind variables, тут видимо ничего не поделаешь.

Этот просто ещё и агрессивный)

anonymous
(22.06.24 14:25:49 MSK)

Ответ на: комментарий от Xintrea 21.06.24 15:28:46 MSK

А какая связь между тобой и разработчиками-специалистами?
Ты гораздо ближе к лоровасянам.

Одно употребление слова токсик это уже диагноз тащемта

anonymous
(22.06.24 14:35:32 MSK)

←	ansible несколько действий под одним name

Development

psycopg2 не имеет элемент sql?

→

Похожие темы