Python で動的にパラメータ化された SQL クエリを安全に実行するにはどうすればよいですか?

パラメータ化を使用して Python で動的 SQL クエリを実行する

Python では、SQL インジェクションの脆弱性を防ぐためにパラメーター化された SQL クエリが使用されます。推奨されるアプローチは、cursor.execute() メソッドを使用し、クエリとパラメーターを別々に渡すことです。ただし、後で実行するためにクエリを変数に保存したい場合があります。

パラメータ化された変数を使用したクエリ

変数を使用してパラメータ化された SQL クエリを実行するには、変数を cursor.execute() 呼び出しにラップ解除する必要があります。 cursor.execute() このメソッドは、クエリ、オプションのパラメータ、名前付きパラメータのオプションのディクショナリという最大 3 つのパラメータを受け入れます。

変数を展開するには * (アスタリスク) を使用します

1 つの方法は、アスタリスク (*) 演算子を使用して変数を解凍することで、タプルを 1 つの引数に展開します。ただし、これにはクエリとパラメータを 2 つの別々のリストまたはタプルに分割する必要があります。

<code class="language-python">sql_and_params = ("INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3)
cursor.execute(*sql_and_params)</code>

変数を手動で解凍する

あるいは、変数を手動で正しいパラメータに解凍することもできます。これにより、クエリとパラメータに単一の変数を使用できるようになります。

<code class="language-python">sql = "INSERT INTO table VALUES (%s, %s, %s)"
args = (var1, var2, var3)
cursor.execute(sql, args)</code>

明示的変数の利点

クエリとパラメータに個別の変数を使用すると、コードが読みやすくなり、保守が容易になります。また、変数を再作成することなく、実行時にクエリやパラメータを簡単に変更できるようになります。

パラメータ化された SQL クエリを変数に格納することは可能ですが、可読性と柔軟性を向上させるために、クエリとパラメータを明示的な変数に分離することが一般的に推奨されます。

以上がPython で動的にパラメータ化された SQL クエリを安全に実行するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。