Python中如何在SQL语句中使用变量？

Question

我有以下的Python代码：

cursor.execute("INSERT INTO table VALUES var1, var2, var3,")

其中var1是一个整数，var2和var3是字符串。

我该如何在Python中写变量名而不让它们被包含在查询文本中？

Answer 1

Python DB-API的不同实现允许使用不同的占位符，所以你需要找出你正在使用的是哪个 -- 例如（使用MySQLdb）：

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

或者（使用Python标准库中的sqlite3）：

cursor.execute("INSERT INTO table VALUES (?, ?, ?)", (var1, var2, var3))

或者其他的（在VALUES之后你可以有(:1, :2, :3)，或者"命名样式"(:fee, :fie, :fo)或者(%(fee)s, %(fie)s, %(fo)s)，在execute的第二个参数中传递一个字典而不是一个映射）。检查你正在使用的DB API模块中的paramstyle字符串常量，并在http://www.python.org/dev/peps/pep-0249/上查找paramstyle，以了解所有的参数传递样式！

Answer 2

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

请注意参数被传递为一个元组，(a, b, c)。如果你只传递一个参数，元组需要以逗号结尾，(a,)。

数据库API会对变量进行适当的转义和引用。请注意不要使用字符串格式化运算符（%），因为

1. 它不会进行任何转义或引用。
2. 它容易受到无法控制的字符串格式攻击，例如SQL注入。