Wie kann ich Variablen in Python SQL INSERT-Anweisungen sicher verwenden?

Variablen in SQL-Anweisungen in Python verwenden

Beim Einfügen von Daten in eine SQL-Tabelle ist es wichtig, Parameter zu verwenden, um Variablenwerte sicher und sicher zu übergeben effektiv. Sehen wir uns an, wie man Variablennamen in Python-Code schreibt, ohne sie als Teil des Abfragetexts einzuschließen.

Betrachten Sie den folgenden Code:

cursor.execute("INSERT INTO table VALUES var1, var2, var3")

wobei var1 eine Ganzzahl ist und var2 und var3 es sind Saiten. Wie können Sie verhindern, dass Python diese Variablen in die Abfragezeichenfolge einbaut?

Lösung:

Um dies zu erreichen, übergeben Sie die Variablen als Tupel an die Methodeexecute():

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

Erklärung:

• Die %s Platzhalter stellen die Variablen dar, die in der Abfrage ersetzt werden.
• Das Tupel (var1, var2, var3) liefert die tatsächlichen Werte für die Platzhalter.
• Der Python-Code sieht jetzt wie eine Parameterersetzung aus Anweisung statt String-Manipulation.

Wichtig Hinweis:

Die Datenbank-API führt ordnungsgemäßes Escapen und Anführungszeichen von Variablen durch. Vermeiden Sie die Verwendung von String-Formatierungsoperatoren (%) für die Parameterersetzung, da diese:

• keinen Escape- oder Anführungszeichenschutz bieten.
• den Code anfällig für SQL-Injection-Angriffe machen.

Das obige ist der detaillierte Inhalt vonWie kann ich Variablen in Python SQL INSERT-Anweisungen sicher verwenden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!