本文旨在介绍如何在 PostgreSQL 数据库中使用 for 循环有效地填充数据表,并避免常见的错误。文章将详细讲解循环计数器的正确使用方法,以及如何使用参数化查询来防止 SQL 注入攻击,从而确保数据安全和代码的健壮性。
使用循环向 PostgreSQL 表中插入数据
在 PostgreSQL 中,使用 for 循环可以方便地将数据批量插入到数据库表中。以下示例展示了如何使用 Python 和 psycopg2 库将一组艺术家姓名插入到名为 Artist 的表中。
关键点:循环计数器
一个常见的错误是在循环内部重置计数器变量。这会导致每次循环迭代都使用相同的值,从而违反主键约束或触发 ON CONFLICT 子句。正确的做法是在循环外部初始化计数器,并在每次迭代中递增它。
示例代码:
import psycopg2
# 数据库连接信息
conn = psycopg2.connect(
host="your_host",
database="your_database",
user="your_user",
password="your_password"
)
artist_name = ['Madonna', 'Slayer', 'Disturbed', 'Michael Jackson', 'Katty Parry']
try:
with conn.cursor() as cur:
id_num = 0 # 在循环外部初始化计数器
for artists in artist_name:
id_num += 1
cur.execute(f"""INSERT INTO Artist (Id, Name)
VALUES ('{id_num}', '{artists}')
ON CONFLICT DO NOTHING""");
conn.commit() # 提交事务
print("数据插入成功!")
except Exception as e:
print(f"发生错误:{e}")
conn.rollback() # 回滚事务
finally:
if conn:
cur.close()
conn.close()注意事项:
- 确保数据库连接信息正确。
- conn.commit() 用于提交事务,使更改永久生效。
- 使用 try...except...finally 块来处理潜在的异常,并确保在发生错误时回滚事务。
防止 SQL 注入:使用参数化查询
直接使用字符串插值(例如 f-strings)构建 SQL 查询容易受到 SQL 注入攻击。即使数据源看起来是可信的,也最好使用参数化查询来避免潜在的安全风险。
示例代码:使用参数化查询
import psycopg2
# 数据库连接信息
conn = psycopg2.connect(
host="your_host",
database="your_database",
user="your_user",
password="your_password"
)
artist_name = ['Madonna', 'Slayer', 'Disturbed', 'Michael Jackson', 'Katty Parry']
try:
with conn.cursor() as cur:
id_num = 0
for artists in artist_name:
id_num += 1
cur.execute(
"""
INSERT INTO Artist (Id, Name)
VALUES (%s, %s)
ON CONFLICT DO NOTHING
""",
(id_num, artists) # 传递参数元组
)
conn.commit()
print("数据插入成功!")
except Exception as e:
print(f"发生错误:{e}")
conn.rollback()
finally:
if conn:
cur.close()
conn.close()解释:
- 在 SQL 查询中使用 %s 作为占位符。
- 将实际的值作为元组传递给 cur.execute() 方法。psycopg2 库会自动处理参数的转义,从而防止 SQL 注入。
总结
使用 for 循环在 PostgreSQL 中填充数据库表是一种常见的任务。通过正确管理循环计数器和使用参数化查询,可以确保数据插入的正确性和安全性。始终建议使用参数化查询,即使在看似安全的环境中,以避免潜在的 SQL 注入风险。记住在操作完成后提交或者回滚事务,并关闭数据库连接。
