我可以在 Python 中執行儲存在變數中的參數化 SQL 查詢嗎？

在 Python 中從變數執行參數化 SQL 查詢

為了防止 SQL 注入，在 Python 中執行參數化 SQL 查詢時，通常建議使用以下格式：

<code class="language-python">cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3)</code>

但是，關於是否可以將查詢儲存在變數中稍後執行的問題，值得探討。

execute() 方法簽章

要理解為什麼這可能無法工作，我們需要檢查 execute() 方法的簽名：

<code class="language-python">cursor.execute(self, query, args=None)</code>

此方法最多需要三個參數：一個查詢和一個可選的參數序列或映射。

嘗試從變數執行查詢

如果我們嘗試執行儲存在變數 sql 中的查詢，例如：

<code class="language-python">sql = "INSERT INTO table VALUES (%s, %s, %s)"
cursor.execute(sql)</code>

我們將收到錯誤，因為 sql 包含四個參數，包括變數本身。

分離查詢與參數

要從變數執行查詢，我們可以分離查詢和參數：

<code class="language-python">sql = "INSERT INTO table VALUES (%s, %s, %s)"
args = var1, var2, var3
cursor.execute(sql, args)</code>

在這種情況下，sql 包含查詢，args 包含參數。透過指定 execute(sql, args)，我們可以成功執行參數化查詢。

另一種方法

或者，我們可以使用更直觀的雙變量方法：

<code class="language-python">sql = "INSERT INTO table VALUES (%s, %s, %s)"
cursor.execute(sql, (var1, var2, var3))</code>

這種方法消除了為查詢和參數建立單獨變數的需要。

以上是我可以在 Python 中執行儲存在變數中的參數化 SQL 查詢嗎？的詳細內容。更多資訊請關注PHP中文網其他相關文章！