pitón añade "E" de la cadena

Question

Esta cadena:

"CREATE USER %s PASSWORD %s", (user, pw) 

siempre se sale ampliado para:

CREATE USER E'someuser' PASSWORD E'somepassword' 

¿Puede alguien decirme por qué?

Edit: La cadena expandida anterior es la cadena que mi base de datos me devuelve en el mensaje de error. Estoy usando psycopg2 para acceder a mi base de datos postgres. El código real se ve así:

conn=psycopg2.connect(user=adminuser, password=adminpass, host=host) 
cur = conn.cursor() 

#user and pw are simple standard python strings the function gets as parameter 
cur.execute("CREATE USER %s PASSWORD %s", (user, pw)) 
conn.commit() 

Answer 1

No sólo la E, pero las cotizaciones parecen provenir de cualquier tipo de usuario y PW Have. % s simplemente hace lo que hace str(), que puede recurrir a repr(), los cuales tienen los métodos correspondientes __str__ y __repr__. Además, ese no es el código que genera el resultado (suponía que hay un%, pero ahora solo veo una coma). Por favor expanda su pregunta con el código, los tipos y los valores reales.

Adición: Teniendo en cuenta que se parece a SQL, me atrevo a adivinar que está viendo escape string constants, probablemente generado correctamente por su módulo de interfaz de base de datos o biblioteca.

Answer 2

Como edición de la OP revela que está usando PostgreSQL, the docs para ello son relevantes, y dicen:

PostgreSQL también acepta "escape" constantes de cadena, que son una extensión al estándar SQL. Una constante de cadena de escape se especifica mediante escribiendo la letra E (mayúscula o minúscula ) justo antes de la primera cita de apertura , p. E'foo '.

En otras palabras, psycopg está generando correctamente las constantes de cadena de escape para sus cadenas (de modo que, como los documentos también dicen:

Dentro de una cadena de escape, una barra invertida carácter() comienza una C -como secuencia de escape barra invertida, en la que la combinación de barra invertida y siguiente carácter (s) representa un valor de byte especial .

(que a su vez son también las convenciones de escape de los literales de cadena de Python no brutos).

El error del OP claramente no tiene nada que ver con eso, y, además de la excelente idea de estudiar los documentos excelentes de PostgreSQL, no debería preocuparse por ese formulario E'...' en este caso ;-).

Answer 3

Antes de intentar algo como:

statement = "CREATE USER %s PASSWORD %s" % (user, pw) 

Por favor lea: http://www.initd.org/psycopg/docs/usage.html

Básicamente el problema es que si se acepta la entrada del usuario (supongo que con el fin de que alguien está entrando en el usuario & PW) es probable que estés abierto a la inyección de SQL.

Como psycopg2 afirma:

Warning Never, never, NEVER use Python string concatenation (+) or string parameters interpolation (%) to pass variables to a SQL query string. Not even at gunpoint. 

Como ha sido identificado, no parece Postgres (o psycopg2) para proporcionar una buena respuesta a los identificadores escapan. En mi opinión, la mejor manera de resolver esto es proporcionar un método de filtro de 'lista blanca'.

ie: Identifique qué caracteres están permitidos en un 'usuario' y un 'pw'. (tal vez A-Za-z0-9_). Tenga cuidado de no incluir caracteres de escape ('o;, etc.) o si lo hace, de que escape a estos valores.

Answer 4

Para pasar identificadores a PostgreSQL a través del uso psycopg AsIs del módulo

from psycopg2.extensions import AsIs 
import psycopg2 
connection = psycopg2.connect(database='db', user='user') 
cur = connection.cursor() 
cur.mogrify(
    'CREATE USER %s PASSWORD %s', (AsIs('someuser'), AsIs('somepassword')) 
    ) 
'CREATE USER someuser PASSWORD somepassword' 

extensions que funciona también para el paso de condiciones de cláusulas como order by:

cur.mogrify(
    'select * from t order by %s', (AsIs('some_column, another column desc'),) 
    ) 
'select * from t order by some_column, another column desc'