在 Python 中從變數執行參數化 SQL 查詢
為了防止 SQL 注入,在 Python 中執行參數化 SQL 查詢時,通常建議使用以下格式:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3)
但是,關於是否可以將查詢儲存在變數中稍後執行的問題,值得探討。
execute()
方法簽章
要理解為什麼這可能無法工作,我們需要檢查 execute()
方法的簽名:
cursor.execute(self, query, args=None)
此方法最多需要三個參數:一個查詢和一個可選的參數序列或映射。
嘗試從變數執行查詢
如果我們嘗試執行儲存在變數 sql
中的查詢,例如:
sql = "INSERT INTO table VALUES (%s, %s, %s)" cursor.execute(sql)
我們將收到錯誤,因為 sql
包含四個參數,包括變數本身。
分離查詢與參數
要從變數執行查詢,我們可以分離查詢和參數:
sql = "INSERT INTO table VALUES (%s, %s, %s)" args = var1, var2, var3 cursor.execute(sql, args)
在這種情況下,sql
包含查詢,args
包含參數。透過指定 execute(sql, args)
,我們可以成功執行參數化查詢。
另一種方法
或者,我們可以使用更直觀的雙變量方法:
sql = "INSERT INTO table VALUES (%s, %s, %s)" cursor.execute(sql, (var1, var2, var3))
這種方法消除了為查詢和參數建立單獨變數的需要。
以上是我可以在 Python 中執行儲存在變數中的參數化 SQL 查詢嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

本文討論了使用MySQL的Alter Table語句修改表,包括添加/刪除列,重命名表/列以及更改列數據類型。

文章討論了為MySQL配置SSL/TLS加密,包括證書生成和驗證。主要問題是使用自簽名證書的安全含義。[角色計數:159]

文章討論了流行的MySQL GUI工具,例如MySQL Workbench和PhpMyAdmin,比較了它們對初學者和高級用戶的功能和適合性。[159個字符]

本文討論了使用Drop Table語句在MySQL中放下表,並強調了預防措施和風險。它強調,沒有備份,該動作是不可逆轉的,詳細介紹了恢復方法和潛在的生產環境危害。

本文討論了在PostgreSQL,MySQL和MongoDB等各個數據庫中的JSON列上創建索引,以增強查詢性能。它解釋了索引特定的JSON路徑的語法和好處,並列出了支持的數據庫系統。

文章討論了使用準備好的語句,輸入驗證和強密碼策略確保針對SQL注入和蠻力攻擊的MySQL。(159個字符)


熱AI工具

Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool
免費脫衣圖片

Clothoff.io
AI脫衣器

AI Hentai Generator
免費產生 AI 無盡。

熱門文章

熱工具

EditPlus 中文破解版
體積小,語法高亮,不支援程式碼提示功能

ZendStudio 13.5.1 Mac
強大的PHP整合開發環境

VSCode Windows 64位元 下載
微軟推出的免費、功能強大的一款IDE編輯器

SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)

Dreamweaver Mac版
視覺化網頁開發工具