如何使用Python安全地将变量插入SQL查询？

在 Python 中安全地将变量插入 SQL 查询

在 Python 中处理数据库查询时，通常需要在查询语句中包含变量。但是，务必以防止语法错误或安全漏洞的方式进行操作。

考虑以下 Python 代码：

<code class="language-python">cursor.execute("INSERT INTO table VALUES var1, var2, var3")</code>

在此代码中，var1 是一个整数，var2 和 var3 是字符串。但是，当 Python 尝试将名称 var1、var2 和 var3 作为查询文本本身的一部分包含在内时，就会出现问题，导致查询无效。

为了解决这个问题，可以使用数据库 API 提供的占位符替换机制。以下是使用占位符重写代码的方法：

<code class="language-python">cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))</code>

在此改进后的代码中：

• %s 代表一个要填充值的占位符。
• (var1, var2, var3) 是一个包含要插入值的元组。

通过将值作为元组传递，数据库 API 会处理必要的变量转义和引用，确保与数据库兼容并防止潜在的安全风险。

请注意，对于单个参数，需要一个带有尾随逗号的元组：

<code class="language-python">cursor.execute("INSERT INTO table VALUES (%s)", (var1,))</code>

此外，避免使用字符串格式化运算符 (%) 来插入变量，因为它可能导致安全漏洞，并且数据库 API 不支持它。

以上是如何使用Python安全地将变量插入SQL查询？的详细内容。更多信息请关注PHP中文网其他相关文章！