Insérer des variables dans des instructions SQL en Python
En Python, lorsque vous utilisez des variables pour exécuter des instructions SQL, il est crucial de transmettre correctement les variables pour éviter d'éventuelles attaques par injection et garantir une exécution correcte.
Pour insérer une variable dans une instruction SQL, utilisez des espaces réservés dans l'instruction et transmettez la variable sous forme de tuple. Par exemple, considérons le code Python suivant :
<code>cursor.execute("INSERT INTO table VALUES var1, var2, var3")</code>Où var1 est un entier, var2 et var3 sont des chaînes.
Pour transmettre correctement les variables, utilisez la méthode d'exécution avec des espaces réservés et un tuple contenant les variables :
<code>cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))</code>Notez l'utilisation d'espaces réservés (%s) dans l'instruction SQL et les parenthèses autour des tuples dans la méthode d'exécution.
Il est important d'éviter d'utiliser l'opérateur de formatage de chaîne (%) car il contourne les échappements et les guillemets appropriés, rendant la requête vulnérable aux attaques par injection SQL.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Quel logiciel est Adobe
Recommandations sur les logiciels de bureau Android
Sur quelle plateforme puis-je acheter des pièces Ripple ?
La principale raison pour laquelle les ordinateurs utilisent le binaire
Introduction aux noms de domaine de premier niveau couramment utilisés
méthode appelée par le spectateur
Explication détaillée de la commande Linux dd
Comment ouvrir le fichier vcf
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
