如何在 Python 的 SQL 语句中使用变量?
问题描述
我有以下 Python 代码:
I have the following Python code:
cursor.execute("INSERT INTO table VALUES var1, var2, var3,")
其中 var1 是整数,var2 和 var3 是字符串.
where var1 is an integer, var2 and var3 are strings.
如何在没有 Python 的情况下编写变量名作为查询文本的一部分?
How can I write the variable names without Python including them as part of the query text?
解决方案
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
注意参数是作为元组传递的.
Note that the parameters are passed as a tuple.
数据库 API 对变量进行正确的转义和引用.注意不要使用字符串格式化操作符(%),因为
The database API does proper escaping and quoting of variables. Be careful not to use the string formatting operator (%), because
- 它不会进行任何转义或引用.
- 它容易受到不受控制的字符串格式攻击,例如SQL 注入.
相关文章