如何在 pyodbc SELECT 语句中安全地使用变量？

在 pyodbc 中使用参数变量执行 Select 语句

原始问题：

迭代时在数据库表中的行中，您在使用变量作为参数执行 select 语句时遇到问题

解决方案：

使用参数化

更安全、更高效的方法是使用参数化。在 pyodbc 中，您可以使用 ? 参数化语句。占位符：

cursor.execute("SELECT * FROM Throughput WHERE DeviceName = ?", data['DeviceName'])

此方法有几个优点：

• SQL 注入保护： 参数化可防止恶意用户将任意 SQL 注入到您的查询中。
• 简化转义：不需要手动转义WHERE 子句的值，作为参数单独传递到数据库。
• 语句准备： SQL 语句准备一次，后续执行将使用准备好的语句以提高效率。

额外提示：

• 无论是否使用参数化，始终验证用户输入。
• 使用显式参数标记（? 或 :name）以保持清晰和一致性。
• 请参阅 pyodbc 文档以获取有关参数化的更多信息和示例。

以上是如何在 pyodbc SELECT 语句中安全地使用变量？的详细内容。更多信息请关注PHP中文网其他相关文章！