Documentación oculta de Python mysqldb

Question

Hay muchas funciones de escape en el módulo de Python mysqldb cuya documentación no entiendo, y mis esfuerzos por buscarlas no han revelado nada.

>>> print _mysql.escape.__doc__ 
escape(obj, dict) -- escape any special characters in object obj 
using mapping dict to provide quoting functions for each type. 
Returns a SQL literal string. 

This documentation page dice lo mismo. ¿Pero qué se supone que es en ese "dict mapping"? Intenté un par de cosas (en su mayoría al azar) y solo recupero los errores. Lo que es aún más frustrante es que, mientras que el método funciona escape_string(), su cadena de documentación es:

>>> print _mysql.escape_string.__doc__ 
escape_string(s) -- quote any SQL-interpreted characters in string s. 

Use connection.escape_string(s), if you use it at all. 
_mysql.escape_string(s) cannot handle character sets. You are 
probably better off using connection.escape(o) instead, since 
it will escape entire sequences as well as strings. 

lo tanto, estoy mejor de usar _mysql.escape(), ¿verdad? Bueno, eh ... está bien, pero ¿cómo? ¿Qué demonios es ese "dict mapping"? PHP, al menos de esa manera, era mucho menos críptico.

Answer 1

Lo aprendí buscando en /usr/lib/pymodules/python2.6/MySQLdb/connections.py para ver cómo se llamaba connection.escape. Un poco de olfateo conduce a MySQLdb.converters.conversions. Aquí hay un fragmento:

{0: <class 'decimal.Decimal'>, 
1: <type 'int'>, 
... 
<type 'dict'>: <built-in function escape_dict>, 
<type 'NoneType'>: <function None2NULL at 0xae9717c>, 
<type 'set'>: <function Set2Str at 0xae9709c>, 
<type 'str'>: <function Thing2Literal at 0xae971b4>, 
<type 'tuple'>: <built-in function escape_sequence>, 
<type 'object'>: <function Instance2Str at 0xae971ec>, 
<type 'unicode'>: <function Unicode2Str at 0xae9710c>, 
<type 'array.array'>: <function array2Str at 0xae9725c>, 
<type 'bool'>: <function Bool2Str at 0xae97294>} 

Usted puede utilizar de esta manera:

import MySQLdb 
import MySQLdb.converters 
import datetime 

now=datetime.datetime.now() 
connection=MySQLdb.connect(
    host=HOST,user=USER,passwd=PASS,db=MYDB) 
print(connection.escape((1,2,now),MySQLdb.converters.conversions)) 
# ('1', '2', "'2010-07-24 19:33:59'") 

PS. Con respecto a Bobby Tables: para el uso normal de MySQLdb, no tiene que escapar manualmente de los argumentos. Simplemente use argumentos parametrizados cuando llame al cursor.execute, y MySQLdb citará automáticamente los argumentos por usted.

Por ejemplo:

sql='insert into students (name,grade,date) values (%s, %s, %s)' 
args=("Robert'); DROP TABLE Students; --",60,now) # no manual quotation necessary 
cursor=connection.cursor() 
cursor.execute(sql,args) 

Answer 2

En realidad, es mejor utilizar la interfaz de nivel superior, MySQLdb. (Consulte el user's guide)

Las funciones _mysql son en realidad solo envoltorios alrededor de la API de C. Se supone que son un detalle de implementación, el tipo de cosas que ni siquiera aparecerían en la documentación de PHP. Los desarrolladores los dejan poco documentados a propósito para desalentar a las personas a usarlos innecesariamente, y también porque pueden consultar el MySQL C API documentation para la función equivalente, que es bastante más completa.

Answer 3

prueba este mysqldb tutorial. Lo he usado yo mismo para aprender mysqldb