Maison >base de données >tutoriel mysql >Comment insérer en toute sécurité les variables dans les requêtes SQL à l'aide de Python?
Considérons le code Python suivant:
<code class="language-python">cursor.execute("INSERT INTO table VALUES var1, var2, var3")</code>Dans ce code,
est un entier, var1
et var2
sont une chaîne. Cependant, lorsque Python essaie d'inclure le nom var3
, var1
et var2
dans le cadre du texte de la requête lui-même, il y aura des problèmes, ce qui entraînera une requête invalide. var3
<code class="language-python">cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))</code>dans ce code amélioré:
%s
est un tuple contenant une valeur d'insertion. (var1, var2, var3)
En transmettant la valeur en tant que méta-groupe, l'API de la base de données traitera les transferts et références variables nécessaires pour assurer la compatibilité avec la base de données et empêcher les risques de sécurité potentiels.
De plus, évitez d'utiliser le format de format de chaîne (%) pour insérer des variables, car il peut provoquer des vulnérabilités de sécurité et ne pas le prendre en charge.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!