在 Python 中从变量执行参数化 SQL 查询
为了防止 SQL 注入,在 Python 中执行参数化 SQL 查询时,通常建议使用以下格式:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3)
但是,关于是否可以将查询存储在变量中稍后执行的问题,值得探讨。
execute()
方法签名
要理解为什么这可能无法工作,我们需要检查 execute()
方法的签名:
cursor.execute(self, query, args=None)
此方法最多需要三个参数:一个查询和一个可选的参数序列或映射。
尝试从变量执行查询
如果我们尝试执行存储在变量 sql
中的查询,例如:
sql = "INSERT INTO table VALUES (%s, %s, %s)" cursor.execute(sql)
我们将收到错误,因为 sql
包含四个参数,包括变量本身。
分离查询和参数
要从变量执行查询,我们可以分离查询和参数:
sql = "INSERT INTO table VALUES (%s, %s, %s)" args = var1, var2, var3 cursor.execute(sql, args)
在这种情况下,sql
包含查询,args
包含参数。通过指定 execute(sql, args)
,我们可以成功执行参数化查询。
另一种方法
或者,我们可以使用更直观的双变量方法:
sql = "INSERT INTO table VALUES (%s, %s, %s)" cursor.execute(sql, (var1, var2, var3))
这种方法消除了为查询和参数创建单独变量的需要。
以上是我可以在 Python 中执行存储在变量中的参数化 SQL 查询吗?的详细内容。更多信息请关注PHP中文网其他相关文章!

本文讨论了使用MySQL的Alter Table语句修改表,包括添加/删除列,重命名表/列以及更改列数据类型。

文章讨论了为MySQL配置SSL/TLS加密,包括证书生成和验证。主要问题是使用自签名证书的安全含义。[角色计数:159]

文章讨论了流行的MySQL GUI工具,例如MySQL Workbench和PhpMyAdmin,比较了它们对初学者和高级用户的功能和适合性。[159个字符]

本文讨论了使用Drop Table语句在MySQL中放下表,并强调了预防措施和风险。它强调,没有备份,该动作是不可逆转的,详细介绍了恢复方法和潜在的生产环境危害。

本文讨论了在PostgreSQL,MySQL和MongoDB等各个数据库中的JSON列上创建索引,以增强查询性能。它解释了索引特定的JSON路径的语法和好处,并列出了支持的数据库系统。

文章讨论了使用准备好的语句,输入验证和强密码策略确保针对SQL注入和蛮力攻击的MySQL。(159个字符)


热AI工具

Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool
免费脱衣服图片

Clothoff.io
AI脱衣机

AI Hentai Generator
免费生成ai无尽的。

热门文章

热工具

SublimeText3汉化版
中文版,非常好用

MinGW - 适用于 Windows 的极简 GNU
这个项目正在迁移到osdn.net/projects/mingw的过程中,你可以继续在那里关注我们。MinGW:GNU编译器集合(GCC)的本地Windows移植版本,可自由分发的导入库和用于构建本地Windows应用程序的头文件;包括对MSVC运行时的扩展,以支持C99功能。MinGW的所有软件都可以在64位Windows平台上运行。

适用于 Eclipse 的 SAP NetWeaver 服务器适配器
将Eclipse与SAP NetWeaver应用服务器集成。

记事本++7.3.1
好用且免费的代码编辑器

mPDF
mPDF是一个PHP库,可以从UTF-8编码的HTML生成PDF文件。原作者Ian Back编写mPDF以从他的网站上“即时”输出PDF文件,并处理不同的语言。与原始脚本如HTML2FPDF相比,它的速度较慢,并且在使用Unicode字体时生成的文件较大,但支持CSS样式等,并进行了大量增强。支持几乎所有语言,包括RTL(阿拉伯语和希伯来语)和CJK(中日韩)。支持嵌套的块级元素(如P、DIV),