Bagaimanakah Saya Boleh Menggunakan Pembolehubah dengan Selamat dalam Pernyataan INSERT SQL Python?

Menggunakan Pembolehubah dalam Pernyataan SQL dalam Python

Apabila memasukkan data ke dalam jadual SQL, adalah penting untuk menggunakan parameter untuk menghantar nilai pembolehubah dengan selamat dan dengan berkesan. Mari kita terokai cara menulis nama pembolehubah dalam kod Python tanpa memasukkannya sebagai sebahagian daripada teks pertanyaan.

Pertimbangkan kod berikut:

cursor.execute("INSERT INTO table VALUES var1, var2, var3")

di mana var1 ialah integer dan var2 dan var3 ialah rentetan. Bagaimanakah anda boleh mengelakkan Python memasukkan pembolehubah ini ke dalam rentetan pertanyaan?

Penyelesaian:

Untuk mencapai ini, hantar pembolehubah sebagai tuple kepada execute() kaedah:

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

Penjelasan:

• Pemegang tempat %s mewakili pembolehubah yang akan digantikan ke dalam pertanyaan.
• The tuple (var1, var2, var3) menyediakan nilai sebenar untuk pemegang tempat.
• Kod Python kini kelihatan seperti pernyataan penggantian parameter dan bukannya manipulasi rentetan.

Nota Penting:

API pangkalan data melakukan pelarian dan petikan pembolehubah yang betul. Elakkan menggunakan operator pemformatan rentetan (%) untuk penggantian parameter, kerana ia:

• Jangan menawarkan perlindungan melarikan diri atau memetik.
• Jadikan kod terdedah kepada serangan suntikan SQL.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menggunakan Pembolehubah dengan Selamat dalam Pernyataan INSERT SQL Python?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!