如何使用 Python 安全地将多个变量插入 MySQL 数据库？

MySQL 中的参数化查询

使用 MySQLdb 模块将多个变量插入 MySQL 数据库表可能会很棘手。考虑以下语句：

cursor.execute ("""
    INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)
    VALUES
        (var1, var2, var3, var4, var5, var6)

""")

但是，在 SQL 查询中使用字符串插值是有问题的，因为它可能会导致应用程序容易受到 SQL 注入的影响，从而引入安全漏洞。正确的做法是使用参数化查询，这样可以确保输入参数的正确转义。

转义参数

不要使用字符串插值，而是在查询中使用占位符并绑定使用元组为它们提供实际值。例如：

cursor.execute("INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation) VALUES (%s, %s, %s, %s, %s, %s)", (var1, var2, var3, var4, var5, var6))

此方法通过在执行查询之前自动转义值来防止 SQL 注入。

以上是如何使用 Python 安全地将多个变量插入 MySQL 数据库？的详细内容。更多信息请关注PHP中文网其他相关文章！