Python MySQLdb TypeError: not all parameters are converted during string form...

蛋蛋超人 · 发表于 2018-9-18 17:58:18

运行此脚本时：

#! /usr/bin/env python
import MySQLdb as mdb
import sys
class Test:
def check(self, search):
try:
con = mdb.connect('localhost', 'root', 'password', 'recordsdb');
cur = con.cursor()
cur.execute( "SELECT * FROM records WHERE email LIKE '%s'", search )
ver = cur.fetchone()
print "Output : %s " % ver
except mdb.Error, e:
print "Error %d: %s" % (e.args[0],e.args[1])
sys.exit(1)
finally:
if con:
con.close()
test = Test()
test.check("test")

复制代码

我得到一个错误：

./lookup
Traceback (most recent call last):
File "./lookup", line 27, in <module>
test.check("test")
File "./lookup", line 11, in creep
cur.execute( "SELECT * FROM records WHERE email LIKE '%s'", search )
File "/usr/local/lib/python2.7/dist-packages/MySQLdb/cursors.py", line 187, in execute
query = query % tuple([db.literal(item) for item in args])
TypeError: not all arguments converted during string formatting

复制代码

我不明白为什么。

天使与魔鬼 · 发表于 2018-9-18 17:59:43

将
cur.execute( "SELECT * FROM records WHERE email LIKE '%s'", search )
换成
cur.execute( "SELECT * FROM records WHERE email LIKE %s", [search] )
请参阅MySQLdb 文档。原因是execute第二个参数表示要转换的对象列表，因为在参数化查询中可以有任意数量的对象。在这种情况下，你只有一个，但它仍然需要是一个可迭代的（一个元组而不是一个列表也可以）。

污妖王 · 发表于 2018-9-18 18:00:31

你可以试试这段代码：
cur.execute( "SELECT * FROM records WHERE email LIKE '%s'", (search,) )
你可以参考文档

强人锁男 · 发表于 2018-9-18 18:01:47

'％'关键字非常危险，因为它是“SQL注入攻击”的主要原因。
所以你只需使用这段代码。

cursor.execute("select * from table where example=%s", (example,))

复制代码

要么

t = (example,)
cursor.execute("select * from table where example=%s", t)

复制代码

如果你想尝试插入表格，试试这个。

name = 'ksg'
age = 19
sex = 'male'
t = (name, age, sex)
cursor.execute("insert into table values(%s,%d,%s)", t)

复制代码