Python SQL INSERT 문에서 변수를 어떻게 안전하게 사용할 수 있나요?

Python의 SQL 문에서 변수 사용

SQL 테이블에 데이터를 삽입할 때 매개 변수를 활용하여 변수 값을 안전하게 전달하고 효과적으로. 쿼리 텍스트의 일부로 변수 이름을 포함하지 않고 Python 코드에서 변수 이름을 작성하는 방법을 살펴보겠습니다.

다음 코드를 고려하세요.

cursor.execute("INSERT INTO table VALUES var1, var2, var3")

여기서 var1은 정수이고 var2와 var3은 다음과 같습니다. 문자열. Python이 이러한 변수를 쿼리 문자열에 통합하는 것을 어떻게 방지할 수 있습니까?

해결책:

이를 달성하려면 변수를 튜플로 실행()에 전달합니다. 방법:

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

설명:

• %s 자리 표시자는 쿼리로 대체될 변수를 나타냅니다.
• 튜플(var1, var2, var3)은 실제 값을 제공합니다. 자리 표시자.
• 이제 Python 코드는 문자열 조작이 아닌 매개변수 대체 문처럼 보입니다.

중요 참고:

데이터베이스 API 변수의 적절한 이스케이프 및 인용을 수행합니다. 매개변수 대체에 문자열 형식 연산자(%)를 사용하지 마세요.

• 이스케이프 또는 인용 보호 기능을 제공하지 마세요.
• 코드가 SQL 주입 공격에 취약해집니다.

위 내용은 Python SQL INSERT 문에서 변수를 어떻게 안전하게 사용할 수 있나요?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!