学习python中踩过的那些坑

1. list 可以被序列化，但set不能被序列化，可以先用list(set)把 set 转换成 list 再序列化，有关序列化，参见http://www.liaoxuefeng.com/wiki/001374738125095c955c1e6d8bb493182103fac9270762a000/00138683221577998e407bb309542d9b6a68d9276bc3dbe000

2.反序列化（如json.loads）可能导致数据类型的变化，比如本来一个变量是 set，json.loads之后会变成一个 list，这体现了 python 的灵活性，但对于新手也很容易踩坑

3. mysql-conntector在execute(query,(params))时不支持表名用变量代替

4. A guide to preventing SQL injection: http://bobby-tables.com/python

Using the Python DB API, don't do this:

# Do NOT do it this way.cmd = "update people set name='%s' where id='%s'" % (name, id)curs.execute(cmd)

Instead, do this:

cmd = "update people set name=%s where id=%s"curs.execute(cmd, (name, id))

Note that the placeholder syntax depends on the database you are using.

'qmark'         Question mark style,                e.g. '...WHERE name=?''numeric'       Numeric, positional style,                e.g. '...WHERE name=:1''named'         Named style,                e.g. '...WHERE name=:name''format'        ANSI C printf format codes,                e.g. '...WHERE name=%s''pyformat'      Python extended format codes,                e.g. '...WHERE name=%(name)s'

The values for the most common databases are:

>>> import MySQLdb; print MySQLdb.paramstyleformat>>> import psycopg2; print psycopg2.paramstylepyformat>>> import sqlite3; print sqlite3.paramstyleqmark

So if you are using MySQL or PostgreSQL, use %s (even for numbers and other non-string values!) and if you are using SQLite use ?

Python 是一门非常好的动态语言，相比于 Java 等语言，它提供了更大的自由度，但也对程序员提出了更高的要求。继续学习吧，加油。