如何在 Python 中安全地執行動態參數化 SQL 查詢？

Python 中使用參數化執行動態 SQL 查詢

在 Python 中，參數化 SQL 查詢用於防止 SQL 注入漏洞。建議的方法是使用 cursor.execute() 方法，分別傳遞查詢和參數。但是，有時希望將查詢儲存在變數中以便稍後執行。

使用參數化變數查詢

要使用變數執行參數化 SQL 查詢，我們需要將變數解包到 cursor.execute() 呼叫中。 cursor.execute() 方法最多接受三個參數：查詢、可選參數和可選的命名參數字典。

使用 *（星號）解包變數

一種方法是使用星號 (*) 運算子解包變量，該運算子將元組擴展為單一參數。但是，這要求我們將查詢和參數分成兩個單獨的清單或元組。

sql_and_params = ("INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3)
cursor.execute(*sql_and_params)

手動解包變數

或者，我們可以手動將變數解包到正確的參數中。這允許我們對查詢和參數使用單一變數。

sql = "INSERT INTO table VALUES (%s, %s, %s)"
args = (var1, var2, var3)
cursor.execute(sql, args)

顯式變數的優點

對查詢和參數使用單獨的變數使程式碼更易讀和易於維護。它還允許我們輕鬆修改運行時的查詢或參數，而無需重新建立變數。

因此，雖然可以將參數化 SQL 查詢儲存在變數中，但通常更傾向於將查詢和參數分成顯式變量，以提高可讀性和靈活性。

以上是如何在 Python 中安全地執行動態參數化 SQL 查詢？的詳細內容。更多資訊請關注PHP中文網其他相關文章！