So verwenden Sie Variablen zum Ausführen von SQL-Anweisungen in Python

Question

Ich habe den folgenden Python-Code:

cursor.execute("INSERT INTO table VALUES var1, var2, var3,")

Wobei var1 eine Ganzzahl ist, sind var2 und var3

Wie schreibe ich Variablennamen, ohne dass Python sie zu einem Teil des Abfragetexts macht?

Answer 1

不同的Python DB-API实现允许使用不同的占位符，所以你需要找出你正在使用的是哪种占位符 -- 例如（使用MySQLdb）：

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

或者（使用Python标准库中的sqlite3）：

cursor.execute("INSERT INTO table VALUES (?, ?, ?)", (var1, var2, var3))

或者其他方式（在VALUES之后，你可以使用(:1, :2, :3)，或者使用"named styles" (:fee, :fie, :fo) 或者 (%(fee)s, %(fie)s, %(fo)s)，在这种情况下，你需要将一个字典作为第二个参数传递给execute函数）。检查你正在使用的DB API模块中的paramstyle字符串常量，并查看http://www.python.org/dev/peps/pep-0249/上的paramstyle，了解所有的参数传递方式！

Answer 2

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

请注意参数是作为一个元组传递的，(a, b, c)。如果您只传递一个参数，元组需要以逗号结尾，(a,)。

数据库API会对变量进行适当的转义和引用。请注意不要使用字符串格式化运算符（%），因为

1. 它不会进行任何转义或引用。
2. 它容易受到无法控制的字符串格式攻击，例如SQL注入。