如何在 Python 中执行存储在变量中的参数化 SQL 查询？

在Python中执行存储于变量中的参数化SQL查询

在Python中处理SQL查询时，使用参数化查询来防止SQL注入至关重要。这涉及到用包含实际值的变量替换参数占位符（例如，'%s'）。

一个常见的问题是，是否可以将参数化SQL查询存储在变量中，然后执行它。让我们来探讨一下语法以及如何实现这一点。

问题

考虑以下Python代码：

sql = "INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3
cursor.execute(sql)

不幸的是，这段代码会引发错误，因为cursor.execute()最多接受三个参数：查询字符串和可选参数。在这个例子中，我们有四个参数，由元组(sql, var1, var2, var3)表示。

解决方法

有两种方法可以从变量执行参数化SQL查询：

方法一：展开参数

我们可以将包含查询和参数的元组的参数展开到cursor.execute()中：

sql_and_params = "INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3
cursor.execute(*sql_and_params)

这会将元组扩展为四个参数，但这操作方式可能显得笨拙。

方法二：分离查询和参数

为了清晰起见，最好将SQL查询和参数分离到两个变量中：

sql = "INSERT INTO table VALUES (%s, %s, %s)"
args = (var1, var2, var3)
cursor.execute(sql, args)

这种方法更简洁，也更易于阅读和维护。

结论

总之，当在Python中从变量执行参数化SQL查询时，需要展开参数或将查询和参数分离到不同的变量中。通常推荐第二种方法，因为它更简单明了。

以上是如何在 Python 中执行存储在变量中的参数化 SQL 查询？的详细内容。更多信息请关注PHP中文网其他相关文章！