Problema Python (error en mysql al actualizar)

lovemvcl · #1 (**permalink**) 05/10/2011, 22:11

Hola soy nueva en el foro y stoy en los primeros inicios de programacion en python tengo un error en un programa al actualizar un registro me muestra el siguiente error:

Código:

 Traceback (most recent call last):
  File "C:\Users\VIANEY\Desktop\TITULACION\ejemplo tutorial\CatalogoDePeliculas\controladores\controladorEditorDePelicula.py", line 63, in onModificarPelicula
    self.app.modelo.modificarPelicula(self.idPelicula, infoPelicula.getTitulo(),infoPelicula.getAnio())
  File "C:\Users\VIANEY\Desktop\TITULACION\ejemplo tutorial\CatalogoDePeliculas\modelo.py", line 45, in modificarPelicula
    self.cursor.execute("UPDATE tblPeliculas SET TituloPelicula='"+ titulo_pelicula +"',Anio=" + str(anio)+  "WHERE IDPelicula=" + str(id_pelicula))
  File "C:\Python25\lib\site-packages\MySQLdb\cursors.py", line 166, in execute
    self.errorhandler(self, exc, value)
  File "C:\Python25\lib\site-packages\MySQLdb\connections.py", line 35, in defaulterrorhandler
    raise errorclass, errorvalue
_mysql_exceptions.ProgrammingError: (1064, "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'IDPelicula=19' at line 1")

Esta es la parte del codigo donde esta la actualizacion

Código:

def modificarPelicula(self, id_pelicula, titulo_pelicula, anio):
  self.conectar()
  print "daots",id_pelicula,titulo_pelicula, anio
  self.cursor.execute("UPDATE tblPeliculas SET TituloPelicula='"+ titulo_pelicula +"',Anio=" + str(anio)+  "WHERE IDPelicula=" + str(id_pelicula))
  self.desconectar()

  Publisher.sendMessage("pelicula_modificada", None)

Cualquier cometario sera d ayuda

Nota: Stoy utilizando python 2.5.2, wamp, wxpython

razpeitia · #2 (**permalink**) 05/10/2011, 22:20

Respuesta rápida:

Código:

self.cursor.execute("UPDATE tblPeliculas SET TituloPelicula='"+ titulo_pelicula +"',Anio=" + str(anio)+  " WHERE IDPelicula=" + str(id_pelicula))

Respuesta larga:
Nunca, pero nunca hagas ese tipo de queries son horribles de leer y ademas son vulnerables a un ataque de SQLInjection.

Lo mas recomendable es usar queries parametrizadas que son muy fáciles de usar.

Ejemplo

Código Python:

Ver originalself.cursor.execute("UPDATE tblPeliculas SET TituloPelicula=%s, Anio=%s WHERE IDPelicula=%s", (titulo_pelicula, anio, id_pelicula))

lovemvcl · #3 (**permalink**) 05/10/2011, 22:35

Gracias x tu respuesta razpeita lo tomare en cuenta y cambiare los queries por los parametrizados, la vdad no stoy muy familiarizada con ste lenguaje y se me ha complicado relizar un ABCM

#4 (**permalink**) 06/10/2011, 06:50

Cita:

Iniciado por lovemvcl

la vdad no stoy muy familiarizada con ste lenguaje y se me ha complicado relizar un ABCM

En realidad el consejo que te da razpeitia no es solamente para Python sino para programación en general. Cualquier lenguaje puede ser vulnerable a Inyección de SQL (y otros tipos de fallos también) si utiliza consultas interpolando cadenas.

El problema en tu consulta original parece ser la falta de un espacio luego de "anio" y antes de "WHERE". Ante la duda lo mejor habría sido generar la cadena e imprimirla con "print" antes de hacer la consulta.

Recordá siempre hacer comprobación de errores en tus programas

Saludos.

lovemvcl · #5 (**permalink**) 07/10/2011, 15:55

Gracias x tu comentario agregare el espacio k falta.

Saludos