本文介绍在 python 2 和 3 兼容环境下,使用三重引号(""" 或 ''')安全构建跨多行的 sql 查询字符串的方法,避免语法错误,并确保嵌套单引号、换行符和可读性同时兼顾。
在编写数据库交互脚本(尤其是调用 shell 命令执行远程 SQL 查询)时,SQL 语句往往结构复杂、嵌套子查询频繁,导致单行字符串过长、难以阅读与维护。若强行换行而不加处理,Python 会抛出 SyntaxError: EOL while scanning string literal —— 这是因为普通单引号或双引号字符串不支持自然换行。
解决方案:使用三重引号字符串(triple-quoted strings)
Python 的三重引号("""...""" 或 '''...''')允许字符串跨越多行,原样保留内部的换行符、缩进和所有字符(包括单引号、双引号),且完全兼容 Python 2.7+ 与 Python 3.x:
def build_sql_command():
return ("""usr/bin/query_tool -e 'SELECT val1
FROM table_name
WHERE val2 = (
SELECT val3
FROM another_table
WHERE val = "abc"
)'""")✅ 优势说明:
立即学习“Python免费学习笔记(深入)”;
- 无需拼接:避免使用 + 或 \ 行续接符,减少出错风险;
- 保留 SQL 格式:缩进与换行提升可读性,便于团队协作与后期调试;
- 安全嵌套引号:SQL 内部的单引号(如 'abc')或双引号(如 "abc")均无需转义;
- 兼容性强:""" 在 Python 2 和 3 中行为一致,无版本差异。
⚠️ 注意事项:
- 三重引号内的所有空白符(含缩进)都会被保留。若将 SQL 缩进过深,生成的命令可能包含多余空格(虽多数 shell 工具可容忍,但某些严格解析器可能报错)。推荐采用左对齐写法,或使用括号隐式连接(见下文备选方案);
- 若需动态插入变量,请优先使用参数化方式(如 str.format() 或 f-string),但注意:此处场景为 shell 命令字符串,切勿直接拼接用户输入,以防 shell 注入。安全做法是使用 subprocess.run() 配合参数列表(而非 shell=True),例如:
import subprocess
cmd = [
"usr/bin/query_tool", "-e",
"SELECT val1 FROM table_name WHERE val2 = (SELECT val3 FROM another_table WHERE val = %s)"
]
# ✅ 后续通过数据库驱动执行,或使用 --bind-param 等安全机制? 总结:对于静态、结构清晰的长 SQL 字符串,"""...""" 是最简洁、健壮、跨版本兼容的多行表达方式;若涉及动态内容,应解耦 SQL 模板与参数,并借助专业数据库接口(如 psycopg2、sqlite3)完成安全绑定,而非在 shell 层面拼接。
