如何在Python中安全地使用SQL语句中的变量？

在 Python 中的 SQL 语句中使用变量

本文针对在 Python 中的 SQL 语句中使用变量的常见问题提供了解决方案。以下 Python 代码：

cursor.execute("INSERT INTO table VALUES var1, var2, var3")

将失败并出现错误，因为变量名称包含在查询文本中。要解决此问题，请使用以下语法：

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

在此解决方案中，变量名称将替换为 SQL 语句中的占位符 (%s)。然后参数作为元组 (var1, var2, var3) 传递。请注意，如果传递单个参数，元组必须以逗号结尾。

使用此方法可确保数据库 API 处理正确的变量转义和引用。避免使用字符串格式化运算符 % 很重要，因为它不执行任何转义或引用。这可能会导致 SQL 注入等安全漏洞。

以上是如何在Python中安全地使用SQL语句中的变量？的详细内容。更多信息请关注PHP中文网其他相关文章！