Utilisation de variables dans les instructions SQL en Python
Lorsque vous travaillez avec des opérations de base de données en Python, il est souvent nécessaire d'incorporer des variables dans les instructions SQL. Cependant, si ces variables sont directement intégrées dans le texte de la requête, Python les interprétera comme faisant partie de la requête, ce qui peut conduire à des résultats inattendus.
Pour éviter ce problème, les variables doivent être transmises en tant que paramètres au SQL. déclaration. La méthode préférée pour y parvenir consiste à utiliser des espaces réservés dans la requête et à transmettre les valeurs sous forme de tuple :
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1 , var2, var3))
Dans cet exemple :
L'API de la base de données gère l'échappement et la citation appropriés des valeurs, garantissant leur insertion en toute sécurité dans la base de données.
Il est important de noter que l'utilisation d'opérateurs de formatage de chaîne comme (%) pour insérer des variables n'est pas recommandé car cela ne permet pas un échappement approprié, ce qui peut conduire à des vulnérabilités de sécurité telles que des attaques par injection SQL.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
