Variablen in der SQL -Anweisung im Python -Code
Um Variablen in die in Python geschriebene SQL -Anweisung einzufügen, müssen Parameter auf eine bestimmte Weise dargestellt werden, um zu verhindern, dass sie als Teil des Abfragetextes selbst einbezogen werden. Die korrekte Grammatik beinhaltet die Verwendung von Orten, die Variablen als Meta -Gruppen einnehmen und übertragen.
Betrachten Sie das folgende Beispiel für Python -Code:
unter ihnen ist var1 eine Ganzzahl, und Var2 und Var3 sind Zeichenfolge.
<code class="language-python">cursor.execute("INSERT INTO table VALUES var1, var2, var3")</code>Um diese Variablen zu verschmelzen, ohne diese Variablen als Teil des Abfragetextes in Python zu verwenden, verwenden Sie bitte die folgende Syntax:
Der Hauptunterschied besteht hier darin, dass in der SQL -Anweisung die Verwendung von Position (%s) und die Variablen als Metallgruppe (einschließlich in Klammern) übertragen werden. Die Datenbank -API verarbeitet automatisch die Starrheit und Referenz, um sicherzustellen, dass die Daten sicher in die Abfrage zusammengefasst werden.
<code class="language-python">cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))</code>Vermeiden Sie die Verwendung des String -Formatierungsoperators (%), um die Variable direkt zu übergeben, da er die erforderliche Rotation oder Referenz überspringt, sodass der Code durch SQL -Injektion problemlos angegriffen wird.
Das obige ist der detaillierte Inhalt vonWie füge ich Variablen sicher aus Python in SQL-Anweisungen ein?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
