Python 내 SQL 문에서 변수를 어떻게 안전하게 사용할 수 있습니까?

Python의 SQL 문에서 변수 사용

이 문서에서는 Python의 SQL 문에서 변수를 사용할 때 발생하는 일반적인 문제에 대한 솔루션을 제공합니다. 다음 Python 코드:

cursor.execute("INSERT INTO table VALUES var1, var2, var3")

는 변수 이름이 쿼리 텍스트의 일부로 포함되어 있기 때문에 오류와 함께 실패합니다. 이 문제를 해결하려면 다음 구문을 사용하십시오.

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

이 솔루션에서는 변수 이름이 SQL 문에서 자리 표시자(%s)로 대체됩니다. 그런 다음 매개변수는 튜플로 전달됩니다(var1, var2, var3). 단일 매개변수를 전달하는 경우 튜플은 쉼표로 끝나야 합니다.

이 방법을 사용하면 데이터베이스 API가 변수의 적절한 이스케이프 및 인용을 처리합니다. 문자열 형식화 연산자 %는 이스케이프나 인용을 수행하지 않으므로 사용하지 않는 것이 중요합니다. 이로 인해 SQL 주입 등의 보안 취약점이 발생할 수 있습니다.

위 내용은 Python 내 SQL 문에서 변수를 어떻게 안전하게 사용할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!