如何使用Python安全地綁定SQL語句中的變數？

使用Python 在SQL 語句中綁定變數

在Python 中，必須將變數傳遞到SQL 語句而不將它們作為查詢的一部分細繩。這可以防止 SQL 注入攻擊並確保正確的參數處理。

要實現此目的，請使用佔位符的cursor.execute() 方法（例如，%s 表示字串，%d 表示整數，'%f' 表示浮點值）來表示變數。

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

請注意，execute() 方法的參數必須是一個元組，即使您傳遞的是單一值。若要指示單一參數，請使用帶有尾隨逗號的元組：

cursor.execute("INSERT INTO table VALUES (%s)", (var1,))

資料庫 API 處理變數的正確轉義和參考。避免使用字串格式化運算子 (%)，因為它不執行任何轉義或引用，從而使應用程式容易受到攻擊。此外，使用準備好的語句（如此處所示的語句）而不是連接字串來建立 SQL 語句非常重要，因為它可以提高安全性和效能。

以上是如何使用Python安全地綁定SQL語句中的變數？的詳細內容。更多資訊請關注PHP中文網其他相關文章！