如何透過 Python 的 `cursor.execute()` 函數在 SQL 查詢中安全地使用變數？

Python中使用變數進行參數化SQL查詢

在Python中，參數化SQL查詢對於防止SQL注入至關重要。雖然建議的方法是將變數直接傳遞給execute函數，但在某些情況下，使用變數來表示查詢本身也是可取的。

將查詢當作變數：語法錯誤

嘗試直接從變數執行SQL查詢（如下圖）會導致語法錯誤：

<code>sql = "INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3
cursor.execute(sql)</code>

Execute函數

cursor.execute函數的簽章規定它最多接受三個參數：

<code>cursor.execute(self, query, args=None)</code>

因此，將包含查詢和參數的變數作為單一參數傳遞是不正確的。

解

為了解決這個問題，有兩種可能的解決方案：

使用參數展開的元組：

<code>sql_and_params = "INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3
cursor.execute(*sql_and_params)</code>

但是，如果元組元素超過三個，這種方法可能會導致錯誤。

分離查詢與參數：

或者，可以將查詢和參數分開：

<code>sql = "INSERT INTO table VALUES (%s, %s, %s)"
args = var1, var2, var3
cursor.execute(sql, args)</code>

這種方法比較冗長，但可以確保將正確數量的參數傳遞給execute函數。

以上是如何透過 Python 的 `cursor.execute()` 函數在 SQL 查詢中安全地使用變數？的詳細內容。更多資訊請關注PHP中文網其他相關文章！