Comment puis-je utiliser en toute sécurité des variables dans les instructions Python SQL INSERT ?

Utilisation de variables dans les instructions SQL en Python

Lors de l'insertion de données dans une table SQL, il est essentiel d'utiliser des paramètres pour transmettre les valeurs des variables en toute sécurité et efficacement. Explorons comment écrire des noms de variables dans le code Python sans les inclure dans le texte de la requête.

Considérez le code suivant :

cursor.execute("INSERT INTO table VALUES var1, var2, var3")

où var1 est un entier et var2 et var3 sont cordes. Comment éviter que Python n'incorpore ces variables dans la chaîne de requête ?

Solution :

Pour y parvenir, transmettez les variables sous forme de tuple à la méthodeexecute() :

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

Explication :

• Le %s les espaces réservés représentent les variables qui seront substituées dans la requête.
• Le tuple (var1, var2, var3) fournit les valeurs réelles des espaces réservés.
• Le code Python ressemble maintenant à une substitution de paramètre déclaration au lieu de la manipulation de chaînes.

Important Remarque :

L'API de base de données effectue un échappement et une citation appropriés des variables. Évitez d'utiliser des opérateurs de formatage de chaîne (%) pour la substitution de paramètres, car ils :

• N'offrent pas de protection contre les fuites ou les citations.
• Rendent le code vulnérable aux attaques par injection SQL.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!