파이썬에서 변수를 SQL 쿼리에 안전하게 삽입하는 방법은 무엇입니까?

Python의 SQL 문에서 변수 사용

Python에서 SQL 문으로 작업할 때 변수가 쿼리에 통합되는 방식에 주의하는 것이 중요합니다. 제공된 Python 코드에는 var1, var2 및 var3 변수를 SQL 테이블에 삽입해야 하는 쿼리가 있습니다. 문제는 변수를 쿼리 텍스트의 일부로 해석하지 않는 것입니다.

이 문제를 해결하기 위해 execute() 메서드는 변수를 튜플로 전달하는 메커니즘을 제공합니다. 수정된 코드는 다음과 같습니다.

<code class="language-python">cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))</code>

참고:

• 매개변수는 튜플로 전달됩니다((var1, var2, var3)).
• 하나의 매개변수만 전달되는 경우 튜플은 쉼표 (a,)로 끝나야 합니다.

데이터베이스 API는 변수의 적절한 이스케이프 및 인용을 처리합니다. 그러나 다음과 같은 이유로 문자열 형식 지정 연산자(%)를 사용하지 않는 것이 중요합니다.

• 이스케이프나 인용을 수행하지 않아 SQL 주입 취약점의 위험이 높아집니다.
• 통제되지 않은 문자열 서식 지정 공격으로 이어질 수도 있습니다.

위 내용은 파이썬에서 변수를 SQL 쿼리에 안전하게 삽입하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!