如何使用 Python 安全地將多個變數插入 MySQL 資料庫？

MySQL 中的參數化查詢

使用 MySQLdb 模組將多個變數插入 MySQL 資料庫表格可能會很棘手。考慮以下語句：

cursor.execute ("""
    INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)
    VALUES
        (var1, var2, var3, var4, var5, var6)

""")

但是，在 SQL 查詢中使用字串插值是有問題的，因為它可能會導致應用程式容易受到 SQL 注入的影響，從而引入安全漏洞。正確的做法是使用參數化查詢，這樣可以確保輸入參數的正確轉義。

轉義參數

不要使用字串插值，而是在查詢中使用佔位符並綁定使用元組為它們提供實際值。例如：

cursor.execute("INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation) VALUES (%s, %s, %s, %s, %s, %s)", (var1, var2, var3, var4, var5, var6))

此方法透過在執行查詢之前自動轉義值來防止 SQL 注入。

以上是如何使用 Python 安全地將多個變數插入 MySQL 資料庫？的詳細內容。更多資訊請關注PHP中文網其他相關文章！