質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
SQLite

SQLiteはリレーショナルデータベース管理システムの1つで、サーバーではなくライブラリとして使用されている。

Python 3.x

Python 3はPythonプログラミング言語の最新バージョンであり、2008年12月3日にリリースされました。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

データベース

データベースとは、データの集合体を指します。また、そのデータの集合体の共用を可能にするシステムの意味を含めます

Python

Pythonは、コードの読みやすさが特徴的なプログラミング言語の1つです。 強い型付け、動的型付けに対応しており、後方互換性がないバージョン2系とバージョン3系が使用されています。 商用製品の開発にも無料で使用でき、OSだけでなく仮想環境にも対応。Unicodeによる文字列操作をサポートしているため、日本語処理も標準で可能です。

Q&A

解決済

5回答

1264閲覧

ユーザがコメントに「'(シングルクオート)」を入力してきてもエラーにならないようにしたい

kalon

総合スコア198

SQLite

SQLiteはリレーショナルデータベース管理システムの1つで、サーバーではなくライブラリとして使用されている。

Python 3.x

Python 3はPythonプログラミング言語の最新バージョンであり、2008年12月3日にリリースされました。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

データベース

データベースとは、データの集合体を指します。また、そのデータの集合体の共用を可能にするシステムの意味を含めます

Python

Pythonは、コードの読みやすさが特徴的なプログラミング言語の1つです。 強い型付け、動的型付けに対応しており、後方互換性がないバージョン2系とバージョン3系が使用されています。 商用製品の開発にも無料で使用でき、OSだけでなく仮想環境にも対応。Unicodeによる文字列操作をサポートしているため、日本語処理も標準で可能です。

0グッド

0クリップ

投稿2019/10/28 20:54

編集2019/10/29 05:42

Python 3.6.5
SQLite 3.28.0
select * from twitter_users;でシングルクオートが消えているのを確認しました。

以下のスクリプトを書きました

Python

1import sqlite3 2 3 4class Database: 5 def __init__(self): 6 self.dbpath = 'db.sqlite3' 7 self.conn = sqlite3.connect(self.dbpath) 8 self.c = self.conn.cursor() 9 10 11db = Database() 12 13 14def update_comment(name, comment='null'): 15 db.c.execute("update twitter_users set comment = '" + comment + 'where name = "' + name + '"') 16 db.conn.commit() 17 18 19update_comment('Jikkenndesu', "How's day?") 20

エラー文:
Traceback (most recent call last):
File "test.py", line 19, in <module>
update_comment('Jikkenndesu', "How's day?")
File "test.py", line 15, in update_comment
db.c.execute("update twitter_users set comment = '" + comment + 'where name = "' + name + '"')
sqlite3.OperationalError: near "s": syntax error

こちらでもダメでした。

python

1import sqlite3 2 3 4class Database: 5 def __init__(self): 6 self.dbpath = 'db.sqlite3' 7 self.conn = sqlite3.connect(self.dbpath) 8 self.c = self.conn.cursor() 9 10 11db = Database() 12 13 14def update_comment(name, comment='null'): 15 db.c.execute('update twitter_users set comment = %s where name = %s' % (name, comment)) 16 db.conn.commit() 17 18 19update_comment('Jikkenndesu', "How's day?")

エラー:
Traceback (most recent call last):
File "test.py", line 19, in <module>
update_comment('Jikkenndesu', "How's day?")
File "test.py", line 15, in update_comment
db.c.execute('update twitter_users set comment = %s where name = %s' % (name, comment))
sqlite3.OperationalError: unrecognized token: "'s day?"

ユーザがコメントに「'(シングルクオート)」を入力してきてもエラーにならないようにしたいのです。

アドバイスとご教授のほどよろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kalon

2019/10/29 00:18

不愉快な思いをさせてしまって申し訳ございません。 そちらの質問にコメントさせていただきました。
guest

回答5

0

公式ドキュメントを読めば十分です。

https://docs.python.org/ja/3.7/library/sqlite3.html

たいてい、SQL 操作では Python 変数の値を使う必要があります。この時、クエリーを Python の文字列操作を使って構築することは安全とは言えないので、すべきではありません。そのようなことをするとプログラムが SQL インジェクション攻撃に対し脆弱になります (https://xkcd.com/327/ ではどうなってしまうかをユーモラスに描いています)。

代わりに、DB-API のパラメータ割り当てを使います。 ? を変数の値を使いたいところに埋めておきます。その上で、値のタプルをカーソルの execute() メソッドの第2引数として引き渡します。(他のデータベースモジュールでは変数の場所を示すのに %s や :1 などの異なった表記を用いることがあります。) 例を示します:


コメントへ

python

1import sqlite3 2 3conn = sqlite3.connect('example.db') 4c = conn.cursor() 5 6# Create table 7c.execute('''CREATE TABLE stocks (date text, trans text, symbol text, qty real, price real)''') 8 9c.execute("INSERT INTO stocks VALUES ('2006-01-05', ? ,'RHAT',100,35.14)", ("ho'ge",)) 10 11# Save (commit) the changes 12conn.commit() 13 14for row in c.execute('SELECT * FROM stocks ORDER BY price'): 15 print(row) 16 17# We can also close the connection if we are done with it. 18# Just be sure any changes have been committed or they will be lost. 19conn.close()

結果

('2006-01-05', "ho'ge", 'RHAT', 100.0, 35.14)

パッとやる限りは再現しないですね……。
DBを中身をどうやって確認したかと、Pythonのバージョンを明記してもらえるといいかと思いました。


追記

python

1db.c.execute('update twitter_users set comment = ? where name = ?', (name, comment))

だとnameとcommentが逆ですから、where句でヒットしないので0件のupdateで終了します。updateする前の情報を見て勘違いしているだけではないでしょうか。

python

1db.c.execute('update twitter_users set comment = ? where name = ?', (comment, name))

python

1db.c.execute('update twitter_users set comment = :comment where name = :name', {'name': name, 'comment': comment})

にしましょう。

投稿2019/10/28 23:47

編集2019/10/29 05:11
quickquip

総合スコア11029

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kalon

2019/10/28 23:54 編集

```Python def update_comment(name, comment='null'): db.c.execute('update twitter_users set comment = ? where name = ?', name, comment) db.conn.commit() update_comment('Jikkenndesu', "How's day?") ``` エラー文: Traceback (most recent call last): File "test.py", line 21, in <module> update_comment('Jikkenndesu', "How's day?") File "test.py", line 17, in update_comment db.c.execute('update twitter_users set comment = ? where name = ?', name, comment) TypeError: function takes at most 2 arguments (3 given) 変数を2つだけ割り当てたのに、3つ与えられたと言われます・・・。何故でしょうか?
kalon

2019/10/28 23:56

db.c.execute('update twitter_users set comment = ? where name = ?', (name, comment)) でできました!ありがとうございます。
kalon

2019/10/29 00:00

でも、DB内で 「How's day?」 が「Hows day?」になってしまいます。どうしたら「'」を残せるでしょうか?
quickquip

2019/10/29 00:12 編集

追記しました。情報を質問に追記して(これ大事)、質問を未解決に戻してもいいと思います。
kalon

2019/10/29 05:06

Python 3.6.5 SQLite 3.28.0 select * from twitter_users;でシングルクオートが消えているのを確認しました。
quickquip

2019/10/29 05:11 編集

情報(状況)は質問に追記しましょう。 今のコードがどうなっていて、何をして、何を確認したか、です。
quickquip

2019/10/29 05:10

あと回答済みです。追記もしておきますが。
guest

0

こういうコードは、エラーになればまだしも、勝手に自由にSQLを実行されてしまう可能性があります。

インターネットからアクセスできるサイトを作る場合は、攻撃者からサイトを守ることについての知識を付けましょう。
少なくとも下記レベルは必要です。

脆弱性対策 普及啓発資料 :IPA 独立行政法人 情報処理推進機構
の、
・安全なウェブサイトの作り方
・安全なSQLの呼び出し方

投稿2019/10/28 23:55

otn

総合スコア84423

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kalon

2019/10/29 00:04

otnさん、いつもお世話になっております。ありがとうございます。 えっとー甘えさせていただきたいのですが、一番安全なSQLの呼び出し方は 'update twitter_users set comment = ? where name = ?', (name, comment) ではないのでしょうか?セキュリティについては初心者もいいところなので、直接教えていただけると助かります。
guest

0

「プリペアドステートメント」をキーワードに調べてみてください。

※Pythonが分かるわけではないのでヒントのみの回答失礼

投稿2019/10/28 21:14

m.ts10806

総合スコア80765

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

自己解決

以下のコードの書き方でシングルクオートがDBに登録されるようになりました。
この回答にマイナス評価を付ける方は、何が悪いのかもコメントに書いていただけると助かります。

Python

1import sqlite3 2 3 4class Database: 5 def __init__(self): 6 self.dbpath = 'db.sqlite3' 7 self.conn = sqlite3.connect(self.dbpath) 8 self.c = self.conn.cursor() 9 10 11db = Database() 12 13 14def update_comment(name, comment='null'): 15 db.c.execute("""update twitter_users set comment = ? where name = ?""", (comment, name)) 16 db.conn.commit() 17 18 19update_comment('Jikkenndesu', "It's a bad day today, and I will go to Phillip's") 20

投稿2019/10/29 22:40

編集2019/10/29 22:51
kalon

総合スコア198

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

SQLでは文字列中のシングルクォートはシングルクォートを2つ重ねます。そのための関数を用意しますが、文字データ中にシングルクォートは入れないでください、って運用でカバーしているユーザーが多いです。

投稿2019/10/29 00:06

Orlofsky

総合スコア16415

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kalon

2019/10/29 00:07

貴重な運用方法を教えてくださってありがとうございます。英語にも対応したいので、どうしてもシングルクオートを入れられるようにしたいのです。
Orlofsky

2019/10/29 01:36 編集

わたしにはシングルクォートを重ねる関数を教えられるほどの能力はありません。 SQLite はかなり簡易なデータベースですので性能の限界もあります。システムが大きくなる見込みがあればもっと性能の良いデータベースで作っておいた方が良いでしょう。 オラクル傘下に入ったMySQLはいつ無償のサービスが有料になったり、有料のサービスがいつ大幅に値上がりするかわからないので MySQLの フォーク https://ja.wikipedia.org/wiki/%E3%83%95%E3%82%A9%E3%83%BC%E3%82%AF_(%E3%82%BD%E3%83%95%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2%E9%96%8B%E7%99%BA) である MariaDB https://ja.wikipedia.org/wiki/MariaDB を選択する人も多いです。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問