注入なしの部分文字列との比較

Question

sql-queryは、pythonモジュールで生成されます。
データベースはPostgreSQLです。 SQLクエリで

ストリングとの比較があります：

''' 
SELECT * 
FROM TableTemp 
WHERE "SomeColumn" LIKE '%{0}%' 
'''.format(<some_string>) 

文字列の場合：

%' -- 

次にチェックは常に "真" を返します。
さらに、これはSQLインジェクションを行う機会です

プロンプトでは、検索時に考慮された文字列をどのように正しく処理できますが、要求はクラッシュせず、SQLインジェクションもありましたか？

UPD：
質問が解決しました。解説の決定

Answer 1

.execute()の2番目の引数として、文字列全体をpsycopg2に渡します。参考：http://initd.org/psycopg/docs/usage.html#passing-parameters-to-sql-queries

import psycopg2  

conn = psycopg2.connect("dbname=test user=postgres") 
curs = conn.cursor() 
search_term = 'some string' 
search_tuple = ('%{0}%'.format(search_term,) # note that this has to be a container 
curs.execute('''select 
       from TableTemp 
       where SomeColumn like %s''',search_tuple).fetchall() 

デモ：

>>> conn.execute('select * from t').fetchall() 
[(u'10:00',), (u'8:00',)] 
>>> conn.execute('select * from t where c like ?',('%8%',)).fetchall() 
[(u'8:00',)] 
>>> conn.execute('select * from t where c like ?',('%:%',)).fetchall() 
[(u'10:00',), (u'8:00',)]