Python を使用して SQL クエリに変数を安全に挿入する方法

Pythonの変数を挿入して、変数をSQLクエリに挿入

Pythonでデータベースクエリを処理する場合、通常、Queryステートメントで変数が必要です。ただし、文法エラーやセキュリティの脆弱性を防ぐために、操作する必要があります。

次のPythonコードを検討してください：

このコードでは、

<code class="language-python">cursor.execute("INSERT INTO table VALUES var1, var2, var3")</code>

は整数であり、

、var1は文字列です。ただし、Pythonがクエリテキスト自体の一部として名前var2、var3、およびvar1を含めようとすると、問題が発生し、クエリが無効になります。 var2 この問題を解決するために、データベースAPIによって提供される置換メカニズムを使用できます。以下は、占有されたシンボルを使用するためにコードを書き換える方法です。 var3 この改善されたコードでは、

<code class="language-python">cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))</code>

リチャージに記入するプレースホルダーを表します。

は、挿入値を含むタプルです。

• 値をメタグループとして送信することにより、データベースAPIは、データベースとの互換性を確保し、潜在的なセキュリティリスクを防ぐために、必要な変数転送と参照を処理します。 %s
単一のパラメーターについては、テールコンマを備えたチューニンググループが必要であることに注意してください。
• さらに、セキュリティの脆弱性を引き起こし、サポートしない可能性があるため、文字列形式形式（％）を使用して変数を挿入しないようにします。 (var1, var2, var3)

以上がPython を使用して SQL クエリに変数を安全に挿入する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。