我可以在 Python 中执行存储在变量中的参数化 SQL 查询吗？

在 Python 中从变量执行参数化 SQL 查询

为了防止 SQL 注入，在 Python 中执行参数化 SQL 查询时，通常建议使用以下格式：

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3)

但是，关于是否可以将查询存储在变量中稍后执行的问题，值得探讨。

execute() 方法签名

要理解为什么这可能无法工作，我们需要检查 execute() 方法的签名：

cursor.execute(self, query, args=None)

此方法最多需要三个参数：一个查询和一个可选的参数序列或映射。

尝试从变量执行查询

如果我们尝试执行存储在变量 sql 中的查询，例如：

sql = "INSERT INTO table VALUES (%s, %s, %s)"
cursor.execute(sql)

我们将收到错误，因为 sql 包含四个参数，包括变量本身。

分离查询和参数

要从变量执行查询，我们可以分离查询和参数：

sql = "INSERT INTO table VALUES (%s, %s, %s)"
args = var1, var2, var3
cursor.execute(sql, args)

在这种情况下，sql 包含查询，args 包含参数。通过指定 execute(sql, args)，我们可以成功执行参数化查询。

另一种方法

或者，我们可以使用更直观的双变量方法：

sql = "INSERT INTO table VALUES (%s, %s, %s)"
cursor.execute(sql, (var1, var2, var3))

这种方法消除了为查询和参数创建单独变量的需要。

以上是我可以在 Python 中执行存储在变量中的参数化 SQL 查询吗？的详细内容。更多信息请关注PHP中文网其他相关文章！