回答編集履歴

プレースホルダを利用した例を試しに実装

2021/10/29 13:43

投稿

スコア2738

test CHANGED Viewed

@@ -55,3 +55,43 @@
 lidとして`1`が来る分には`lid=1`で整数の1とみなされますが、`810C3B31`だと`lid=810C3B31`なのでSQLとしては文法エラーのはず。
+## 補足
+PyMySQLを使うのであれば、パラメーター形式で渡せるのでこっちを使ったほうが安全（エラーが起きにくい）かと思います。
+[ドキュメント](https://pymysql.readthedocs.io/en/latest/user/examples.html)をもと、試しに書いてみた例（動作確認してません）
+```python
+def select(yyyy,MM,dd,lid):  # select関数
+  connection = pymysql.connect()
+  with connection.cursor() as cursor:
+    FROM = yyyy+"-"+MM+"-"+dd+" 00:00:00"
+    TO   = yyyy+"-"+MM+"-"+dd+" 23:00:00"
+    sql = "select * from thData where lid = %s and date >= %s and date <= %s"
+    cursor.execute(sql, [lid, FROM, TO])
+    results = cursor.fetchall()
+  return results
+```

diff形式のインデント調整

2021/10/29 13:43

投稿

スコア2738

test CHANGED Viewed

@@ -30,11 +30,11 @@
     TO   = yyyy+"-"+MM+"-"+dd+" 23:00:00"
-+    # lidに文字列が来るならクオートが必要
++   # lidに文字列が来るならクオートが必要
-+    sql = "select * from thData where lid= '"+ str(lid) + "'"
++   sql = "select * from thData where lid= '"+ str(lid) + "'"
--    sql = "select * from thData where lid="+str(lid)
+-   sql = "select * from thData where lid="+str(lid)
     sql += " and date>='"+FROM+"' and date<='"+TO+"'"