Variablen in SQL-Anweisungen in Python einfügen
Wenn Sie in Python Variablen zum Ausführen von SQL-Anweisungen verwenden, ist es wichtig, die Variablen korrekt zu übergeben, um potenzielle Injektionsangriffe zu verhindern und eine korrekte Ausführung sicherzustellen.
Um eine Variable in eine SQL-Anweisung einzufügen, verwenden Sie Platzhalter in der Anweisung und übergeben Sie die Variable als Tupel. Betrachten Sie beispielsweise den folgenden Python-Code:
<code>cursor.execute("INSERT INTO table VALUES var1, var2, var3")</code>Wobei var1 eine Ganzzahl ist, sind var2 und var3 Zeichenfolgen.
Um Variablen korrekt zu übergeben, verwenden Sie die Methodeexecute mit Platzhaltern und einem Tupel, das die Variablen enthält:
<code>cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))</code>Beachten Sie die Verwendung von Platzhaltern (%s) in der SQL-Anweisung und die Klammern um die Tupel in der Ausführungsmethode.
Es ist wichtig, die Verwendung des String-Formatierungsoperators (%) zu vermeiden, da dieser das ordnungsgemäße Escapen und Anführungszeichen umgeht und die Abfrage anfällig für SQL-Injection-Angriffe macht.
Das obige ist der detaillierte Inhalt vonWie fügt man mit Python Variablen sicher in SQL-Anweisungen ein?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
