Requêtes paramétrées dans MySQL
L'insertion de plusieurs variables dans une table de base de données MySQL à l'aide du module MySQLdb peut être délicate. Considérez la déclaration suivante :
cursor.execute ("""
INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)
VALUES
(var1, var2, var3, var4, var5, var6)
""")Cependant, l'utilisation de l'interpolation de chaîne dans les requêtes SQL est problématique car elle peut introduire des vulnérabilités de sécurité en laissant votre application vulnérable à l'injection SQL. L'approche correcte consiste à utiliser des requêtes paramétrées, ce qui garantit un échappement correct des paramètres d'entrée.
Paramètres d'échappement
Au lieu de l'interpolation de chaîne, utilisez des espaces réservés dans la requête et liez le leur donner les valeurs réelles à l'aide d'un tuple. Par exemple :
cursor.execute("INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation) VALUES (%s, %s, %s, %s, %s, %s)", (var1, var2, var3, var4, var5, var6))Cette méthode protège contre l'injection SQL en échappant automatiquement les valeurs avant d'exécuter la requête.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Introduction aux plug-ins requis pour que vscode exécute Java
Comment changer le type de fichier dans Win7
La différence entre mac air et pro
Comment annuler le renouvellement automatique à la Station B
format de données json
Comment désinstaller phpnow
entrée du site officiel de msdn
Pourquoi l'ordinateur continue de redémarrer automatiquement
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
