DB-API参数化SQL执行方法详解

本文针对在使用 SQLAlchemy 中遇到的 `sqlalchemy.exc.ArgumentError: List argument must consist only of tuples or dictionaries` 错误，详细讲解如何使用 DB-API 风格的绑定参数执行 SQL 语句，从而解决该问题。通过示例代码，展示了如何利用 `exec_driver_sql` 方法正确地传递参数，安全地执行 SQL 语句，特别是在执行 DELETE 语句时，如何绑定日期参数删除早于指定日期的日志。强调了使用参数绑定防止 SQL 注入的重要性，并提供了关于数据库驱动兼容性、数据类型匹配等注意事项。适用于 SQLAlchemy 2.0 及更高版本，旨在帮助开发者更有效地使用 SQLAlchemy 执行 SQL 操作，提升代码安全性与可维护性。

本文档旨在指导读者如何在 SQLAlchemy 中使用 DB-API 风格的绑定参数执行 SQL 语句，特别是针对 sqlalchemy.exc.ArgumentError: List argument must consist only of tuples or dictionaries 错误的解决方案。我们将通过示例代码演示如何正确地传递参数，并提供一些注意事项，以确保 SQL 语句的安全执行。

在使用 SQLAlchemy 执行 SQL 语句时，有时需要使用绑定参数来防止 SQL 注入，并提高代码的可读性和可维护性。当遇到 sqlalchemy.exc.ArgumentError: List argument must consist only of tuples or dictionaries 错误时，通常是由于参数传递的方式不正确导致的。

下面将介绍如何使用 exec_driver_sql 方法来解决这个问题。

问题描述

在使用 SQLAlchemy 执行 DELETE 语句，并尝试使用绑定参数删除早于指定日期的日志时，可能会遇到上述错误。例如，以下代码：

from datetime import datetime, timedelta

import sqlalchemy

db_con_string = 'Driver={ODBC Driver 17 for SQL Server};Server=tcp...'
connection_url = sqlalchemy.engine.URL.create("mssql+pyodbc",
                                              query={"odbc_connect": db_con_string})
engine = sqlalchemy.create_engine(connection_url)

with engine.begin() as sql_conn:
    command = 'delete myschema.Logs where [DateTimeSent] < ?'
    params = ((datetime.utcnow() + timedelta(days=-90)), )
    sql_conn.execute(sqlalchemy.sql.text(command), params)

这段代码会抛出 sqlalchemy.exc.ArgumentError 异常。

解决方案

解决此问题的方法是使用 exec_driver_sql 方法，该方法允许直接使用 DB-API 风格的参数绑定。

修改后的代码如下：

from datetime import datetime, timedelta

import sqlalchemy

db_con_string = 'Driver={ODBC Driver 17 for SQL Server};Server=tcp...'
connection_url = sqlalchemy.engine.URL.create("mssql+pyodbc",
                                              query={"odbc_connect": db_con_string})
engine = sqlalchemy.create_engine(connection_url)

with engine.begin() as sql_conn:
    command = 'delete myschema.Logs where [DateTimeSent] < ?'
    params = (datetime.utcnow() + timedelta(days=-90), )  # Corrected params
    sql_conn.exec_driver_sql(command, params)

代码解释

1. exec_driver_sql 方法: sql_conn.exec_driver_sql(command, params) 允许你直接使用 DB-API 驱动程序提供的参数绑定机制。
2. 参数格式: params 变量应该是一个元组，其中包含要传递给 SQL 语句的参数。在此示例中，我们将 datetime 对象作为参数传递。注意，这里将 params 修改为一个包含 datetime 对象的元组 (datetime.utcnow() + timedelta(days=-90), )。

注意事项

• SQL 注入: 始终使用参数绑定来防止 SQL 注入攻击。不要直接将用户输入拼接到 SQL 语句中。
• 数据库驱动: 确保你使用的数据库驱动程序支持 DB-API 风格的参数绑定。不同的数据库驱动程序可能对参数绑定的语法有不同的要求。
• 数据类型: 确保传递给 SQL 语句的参数类型与数据库列的类型匹配。例如，如果数据库列是 datetime 类型，则应该传递 datetime 对象。
• SQLAlchemy 版本: 该方法在 SQLAlchemy 2.0 及更高版本中适用。

总结

当在使用 SQLAlchemy 执行 SQL 语句时遇到 sqlalchemy.exc.ArgumentError 错误，并且涉及到参数绑定时，可以尝试使用 exec_driver_sql 方法。确保正确地格式化参数，并始终注意防止 SQL 注入。通过遵循这些步骤，可以更有效地使用 SQLAlchemy 执行 SQL 语句，并提高代码的安全性。

好了，本文到此结束，带大家了解了《DB-API参数化SQL执行方法详解》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！