pymysql 在 ON DUPLICATE KEY UPDATE 中正确转义 %(updatetime)s 的参数？

PyMySQL 参数风格与占位符转义

理解参数风格：占位符的种类与使用方式

在使用 MySQL 的 Python 客户端 PyMySQL 时，参数占位符的选择直接决定了 SQL 注入防护与转义效果。PyMySQL 遵循 Python 的 DB-API 2.0 规范，常见的占位符有 %s、%(name)s 等形式。统一的占位符风格有助于驱动库正确地对参数进行转义，从而确保在 ON DUPLICATE KEY UPDATE 这样的复杂 SQL 中也能稳定工作。

若混用不同风格的占位符，或者在字符串拼接中直接拼接参数值，可能导致转义失效甚至安全漏洞。掌握命名参数和位置参数的区别，是实现正确转义的前提，也为后续在 ON DUPLICATE KEY UPDATE 中安全传参打下基础。

如何传入命名参数（%(updatetime)s）

命名参数通常需要以字典的形式传给 cursor.execute，例如 {'updatetime': value}，再在 SQL 中使用 %(updatetime)s 的占位符。这种方式的好处在于参数与字段名清晰对应，便于维护和调试。确保 SQL 的占位符与传入的字典键一致，以避免 KeyError 或参数错位的问题。

在 ON DUPLICATE KEY UPDATE 场景中，使用命名参数的一个常见做法是将要更新的字段设为 INSERT 的值，或直接绑定一个新的时间戳。例如，updatetime 使用 %(updatetime)s 进行转义，并在字典中提供相应的键值对，驱动会自动完成转义。

# 以命名参数传入，演示 on duplicate key update 的转义
import pymysql

conn = pymysql.connect(host='localhost', user='root', password='pwd', db='shop', charset='utf8mb4')
cur = conn.cursor()

sql = """
INSERT INTO orders (order_id, status, updatetime)
VALUES (%(order_id)s, %(status)s, %(updatetime)s)
ON DUPLICATE KEY UPDATE
    status = VALUES(status),
    updatetime = VALUES(updatetime)
"""

params = {
    'order_id': 1001,
    'status': 'PAID',
    'updatetime': '2025-08-23 12:34:56'
}
cur.execute(sql, params)
conn.commit()
cur.close()
conn.close()

ON DUPLICATE KEY UPDATE 的参数转义要点

在 ON DUPLICATE KEY UPDATE 中使用占位符的正确方式

当你在 ON DUPLICATE KEY UPDATE 子句中引用占位符时，最佳实践是让驱动统一进行参数转义。不要直接在 UPDATE 子句中拼接字符串，这会带来注入风险与转义失败的隐患。采用占位符并通过参数字典传递，可以确保参数得到正确的转义。

此外，若你需要把插入的新值赋给更新字段，推荐使用 VALUES(column) 或 VALUES(updatetime) 的写法，以避免重复传参的需求，并让数据库层完成内部替换与转义。

将 %(updatetime)s 与 VALUES() 的组合应用

实战中，常见的模式是既在 VALUES 子句中绑定 updatetime，又在 UPDATE 子句中继续使用 VALUES(updatetime) 或直接使用对应字段的赋值。通过 VALUES()，可以将本次插入的值安全地复用到更新操作中，避免在 UPDATE 里重复传参。

下面的示例展示了将命名参数用于 VALUES，并在 UPDATE 中使用 VALUES(updatetime) 的组合方式，确保参数的转义与一致性。

# 使用 VALUES() 复用插入值，避免在 UPDATE 中重复传参
import pymysql

conn = pymysql.connect(host='localhost', user='root', password='pwd', db='shop', charset='utf8mb4')
cur = conn.cursor()

sql = """
INSERT INTO orders (order_id, status, updatetime)
VALUES (%(order_id)s, %(status)s, %(updatetime)s)
ON DUPLICATE KEY UPDATE
    status = VALUES(status),
    updatetime = VALUES(updatetime)
"""

params = {'order_id': 1002, 'status': 'SHIPPED', 'updatetime': '2025-08-23 13:45:00'}
cur.execute(sql, params)
conn.commit()
cur.close()
conn.close()

实战中的安全性与性能考虑

避免拼接字符串，确保参数化查询的核心原则

在生产环境中，尽量避免把变量直接拼接到 SQL 字符串中，这不仅会带来注入风险，也让 SQL 语句的缓存效果下降。使用参数化查询、恰当的占位符风格，是实现安全与高性能的基础。

对于 ON DUPLICATE KEY UPDATE 场景，推荐采用 参数化占位符 + VALUES() 的组合，既能保证转义，又能让数据库对重复键冲突时的行为更加可预测。

性能与可维护性的平衡

在涉及大量写入的场景，保持参数化查询的一致性有助于数据库端的计划缓存与执行效率。统一使用命名参数或统一的占位符风格，能降低维护成本，并减少因不同风格混用带来的错误概率。

此外，合理设计索引与唯一键，以及在 UPDATE 子句中对更新字段进行最小必要修改，都是提升性能的有效手段。强烈建议在上线前进行压力测试与查询执行计划分析。