変数を使用して Python で SQL ステートメントを実行する方法

Question

次の Python コードがあります:

cursor.execute("INSERT INTO table VALUES var1, var2, var3,")

ここで、var1は整数、var2およびvar3は文字列です。

Python で変数名をクエリ テキストの一部にせずに変数名を記述するにはどうすればよいですか?

Answer 1

異なる Python DB-API 実装では、異なるプレースホルダーが使用できるため、どのプレースホルダーを使用しているかを確認する必要があります。たとえば (MySQLdb を使用):

リーリー

または (Python 標準ライブラリの sqlite3 を使用):

リーリー

または他のメソッド (VALUES の後に、(:1, :2, :3) を使用するか、「名前付きスタイル」(:fee, : fie、:fo) または (%(fee)s, %(fie)s, %(fo)s)、この場合、2 番目のパラメーターが渡されるときに辞書を使用する必要があります。 execute関数に)。使用している DB API モジュールの paramstyle 文字列定数を確認し、 http://www.python.org/dev/peps/pep-0249/ の paramstyle を参照してください。すべてのパラメータの受け渡し方法を理解してください。

Answer 2

リーリー

パラメータはタプル (a, b, c) として渡されることに注意してください。パラメーターを 1 つだけ渡す場合、タプルはコンマ (a,) で終わる必要があります。

データベース API は変数を適切にエスケープし、引用符で囲みます。文字列フォーマット演算子 (%) は使用しないように注意してください。

エスケープや引用は行いません。
SQL インジェクション
2. など、制御できない文字列フォーマット攻撃に対して脆弱です。