Bagaimanakah Saya Boleh Menggunakan Pembolehubah dengan Selamat dalam Pertanyaan SQL dengan Fungsi `cursor.execute()` Python?

Menggunakan pembolehubah dalam Python untuk pertanyaan SQL berparameter

Dalam Python, pertanyaan SQL berparameter adalah penting untuk menghalang suntikan SQL. Walaupun pendekatan yang disyorkan adalah untuk menghantar pembolehubah terus ke fungsi laksana, dalam beberapa kes ia juga wajar untuk menggunakan pembolehubah untuk mewakili pertanyaan itu sendiri.

Pertanyaan sebagai pembolehubah: ralat sintaks

Cuba untuk melaksanakan pertanyaan SQL terus daripada pembolehubah (seperti yang ditunjukkan di bawah) menghasilkan ralat sintaks:

<code>sql = "INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3
cursor.execute(sql)</code>

Laksanakan fungsi

cursor.executeTandatangan fungsi menentukan bahawa ia menerima sehingga tiga parameter:

<code>cursor.execute(self, query, args=None)</code>

Oleh itu, adalah tidak betul untuk menghantar pembolehubah yang mengandungi pertanyaan dan parameter sebagai parameter tunggal.

Penyelesaian

Untuk menyelesaikan masalah ini, terdapat dua penyelesaian yang mungkin:

Tuple dikembangkan dengan parameter:

<code>sql_and_params = "INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3
cursor.execute(*sql_and_params)</code>

Walau bagaimanapun, pendekatan ini boleh menyebabkan ralat jika tupel mempunyai lebih daripada tiga elemen.

Asingkan pertanyaan dan parameter:

Sebagai alternatif, anda boleh memisahkan pertanyaan dan parameter:

<code>sql = "INSERT INTO table VALUES (%s, %s, %s)"
args = var1, var2, var3
cursor.execute(sql, args)</code>

Kaedah ini lebih bertele-tele, tetapi memastikan bilangan parameter yang betul dihantar ke fungsi laksana.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menggunakan Pembolehubah dengan Selamat dalam Pertanyaan SQL dengan Fungsi `cursor.execute()` Python?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!