如何通过 Python 的 `cursor.execute()` 函数在 SQL 查询中安全地使用变量？

Python中使用变量进行参数化SQL查询

在Python中，参数化SQL查询对于防止SQL注入至关重要。虽然推荐的方法是将变量直接传递给execute函数，但在某些情况下，使用变量来表示查询本身也是可取的。

将查询作为变量：语法错误

尝试直接从变量执行SQL查询（如下所示）会导致语法错误：

<code>sql = "INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3
cursor.execute(sql)</code>

Execute函数

cursor.execute函数的签名规定它最多接受三个参数：

<code>cursor.execute(self, query, args=None)</code>

因此，将包含查询和参数的变量作为单个参数传递是不正确的。

解决方案

为了解决这个问题，有两种可能的解决方案：

使用参数展开的元组：

<code>sql_and_params = "INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3
cursor.execute(*sql_and_params)</code>

但是，如果元组元素超过三个，这种方法可能会导致错误。

分离查询和参数：

或者，可以将查询和参数分开：

<code>sql = "INSERT INTO table VALUES (%s, %s, %s)"
args = var1, var2, var3
cursor.execute(sql, args)</code>

这种方法比较冗长，但可以确保将正确数量的参数传递给execute函数。

以上是如何通过 Python 的 `cursor.execute()` 函数在 SQL 查询中安全地使用变量？的详细内容。更多信息请关注PHP中文网其他相关文章！