Liaison de variables dans les instructions SQL à l'aide de Python
En Python, il est essentiel de transmettre des variables dans des instructions SQL sans les inclure dans la requête chaîne. Cela empêche les attaques par injection SQL et garantit une gestion correcte des paramètres.
Pour y parvenir, utilisez la méthode curseur.execute() avec des espaces réservés (par exemple, %s pour les chaînes, %d pour les entiers et « %f » pour valeurs à virgule flottante) pour représenter les variables.
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))Notez que les paramètres de la méthode execute() doivent être un tuple, même si vous transmettez une seule valeur. Pour indiquer un seul paramètre, utilisez un tuple avec une virgule finale :
cursor.execute("INSERT INTO table VALUES (%s)", (var1,))L'API de la base de données gère l'échappement et la citation appropriés des variables. Évitez d'utiliser l'opérateur de formatage de chaîne (%) car il n'effectue aucun échappement ni citation, laissant l'application vulnérable aux attaques. De plus, il est important d'utiliser des instructions préparées (comme celle présentée ici) au lieu de concaténer des chaînes pour créer l'instruction SQL, car cela améliore à la fois la sécurité et les performances.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
vim sauvegarder et quitter la commande
Comment commenter le code en HTML
Utilisation de la valeur de retour Python
Comment ouvrir jsp
Quelle est la fonction du diviseur de fréquence
Comment télécharger et enregistrer les vidéos phares du jour
La différence entre MATE60 et MATE60PRO
Comment résoudre l'exception d'argument illégal
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
