往 MySQL 里存入时间 "2018-05-16 23:28:13" 总是报错 ProgrammingError: (1064, ... 是什么格式有误吗？

MySQL 数据格式设为 varchar 和 datetime 都存不进去：

login_time = "2018-05-16 23:28:13"
cursor.execute("insert into user_logs (user_id, login_time)  values (%s, %s)" % \
                       (int(user_id), login_time))

出错提示（ MySQL5.5)：

_mysql_exceptions.ProgrammingError: (1064, "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '23:28:13)'  at line 1")

raptium

2019-02-01 22:53:28 +08:00

```
cursor.execute("insert into user_logs (user_id, login_time) values (%s, %s)", (int(user_id), login_time))
```
这样应该可以了吧。
不要自己通过字符串格式化的方式填充参数生成 SQL，这样除了容易拼错引号之类的导致语法错误外还很容易引入 SQL 注入漏洞。

xpresslink

2019-02-02 10:54:38 +08:00

楼主最好不要这么写，很容易被 SQL 注入，应该用参数化方式, 那个 int （）转换也是多余的。
直接写成下面这样就可以了。

cursor.execute("insert into user_logs (user_id, login_time) values (%s, %s)", (user_id, login_time))

dorothyREN

2019-02-02 11:32:04 +08:00

你可以把 sql 语句打出来看看，vules 没有引号的话貌似会报语法错误。昨天刚碰到这个问题。最后加了个转义符搞定。

dorothyREN

2019-02-02 11:33:08 +08:00

@dorothyREN sql = "insert into trade_info(trade_no,trade_time,info,income,balance,source) values (\'{trade_no}\',\'{trade_time}\',\'{info}\',\'{income}\',\'{balance}\',\'{source}\')".format(trade_no=trade_no,trade_time=str(trade_time), info=str(info), income=str(income), balance=str(balance),source=str(source))

miniyao

2019-02-02 12:15:05 +08:00

@xlui
@hly9469
@raptium
@xpresslink
@dorothyREN
我应该是某个地方格式写错了，谢谢楼上同学，用字符串加''和传参的方式都可以。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/532552

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.