如何在Python SQL語句中安全使用變數？

在Python 中的SQL 語句中使用變數

在Python 中進行資料庫運算時，通常需要將變數合併到SQL 語句中。但是，如果這些變數直接嵌入到查詢文字中，Python 會將它們解釋為查詢的一部分，這可能會導致意外結果。

為了避免此問題，應將變數作為參數傳遞給 SQL陳述。實現此目的的首選方法是在查詢中使用佔位符並將值作為元組傳遞：

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", ( var1 , var2, var3))

在此範例中：

• 查詢文字包含佔位符 (%s) 來表示應插入變數值的位置。
• 值 (var1、var2、var3) 作為元組傳遞給execute() 方法。

資料庫 API 處理值的正確轉義和引用，確保它們安全插入資料庫。

它是需要注意的是，不建議使用 (%) 等字串格式化運算子來插入變量，因為它不能提供正確的轉義，這可能會導致 SQL 注入攻擊等安全漏洞。

以上是如何在Python SQL語句中安全使用變數？的詳細內容。更多資訊請關注PHP中文網其他相關文章！