Python多行SQL写法技巧与实例

本文详解了在Python中如何利用三重引号（"""或'''）安全、简洁、跨版本兼容地编写多行SQL字符串，尤其适用于构建嵌套复杂、需调用shell工具执行的静态查询命令；它彻底规避了单行过长、引号转义繁琐、换行报错等问题，兼顾可读性、可维护性与安全性，同时提醒读者注意缩进处理和动态参数的安全实践——避免shell注入，推荐结合subprocess参数化调用或专业数据库驱动完成变量绑定。

本文介绍在 Python 2 和 3 兼容环境下，使用三重引号（""" 或 '''）安全构建跨多行的 SQL 查询字符串的方法，避免语法错误，并确保嵌套单引号、换行符和可读性同时兼顾。

在编写数据库交互脚本（尤其是调用 shell 命令执行远程 SQL 查询）时，SQL 语句往往结构复杂、嵌套子查询频繁，导致单行字符串过长、难以阅读与维护。若强行换行而不加处理，Python 会抛出 SyntaxError: EOL while scanning string literal —— 这是因为普通单引号或双引号字符串不支持自然换行。

解决方案：使用三重引号字符串（triple-quoted strings）

Python 的三重引号（"""...""" 或 '''...'''）允许字符串跨越多行，原样保留内部的换行符、缩进和所有字符（包括单引号、双引号），且完全兼容 Python 2.7+ 与 Python 3.x：

def build_sql_command():
    return ("""usr/bin/query_tool -e 'SELECT val1 
FROM table_name 
WHERE val2 = (
    SELECT val3 
    FROM another_table 
    WHERE val = "abc"
)'""")

✅ 优势说明：

• 无需拼接：避免使用 + 或 \ 行续接符，减少出错风险；
• 保留 SQL 格式：缩进与换行提升可读性，便于团队协作与后期调试；
• 安全嵌套引号：SQL 内部的单引号（如 'abc'）或双引号（如 "abc"）均无需转义；
• 兼容性强：""" 在 Python 2 和 3 中行为一致，无版本差异。

⚠️ 注意事项：

• 三重引号内的所有空白符（含缩进）都会被保留。若将 SQL 缩进过深，生成的命令可能包含多余空格（虽多数 shell 工具可容忍，但某些严格解析器可能报错）。推荐采用左对齐写法，或使用括号隐式连接（见下文备选方案）；
• 若需动态插入变量，请优先使用参数化方式（如 str.format() 或 f-string），但注意：此处场景为 shell 命令字符串，切勿直接拼接用户输入，以防 shell 注入。安全做法是使用 subprocess.run() 配合参数列表（而非 shell=True），例如：

import subprocess
cmd = [
    "usr/bin/query_tool", "-e",
    "SELECT val1 FROM table_name WHERE val2 = (SELECT val3 FROM another_table WHERE val = %s)"
]
# ✅ 后续通过数据库驱动执行，或使用 --bind-param 等安全机制

? 总结：对于静态、结构清晰的长 SQL 字符串，"""...""" 是最简洁、健壮、跨版本兼容的多行表达方式；若涉及动态内容，应解耦 SQL 模板与参数，并借助专业数据库接口（如 psycopg2、sqlite3）完成安全绑定，而非在 shell 层面拼接。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《Python多行SQL写法技巧与实例》文章吧，也可关注golang学习网公众号了解相关技术文章。