Bagaimana untuk Memasukkan Pembolehubah dengan Selamat ke dalam Pertanyaan SQL dalam Python?

Menggunakan pembolehubah dalam pernyataan SQL dalam Python

Apabila bekerja dengan pernyataan SQL dalam Python, adalah penting untuk memberi perhatian kepada cara pembolehubah disepadukan ke dalam pertanyaan. Dalam kod Python yang disediakan, terdapat pertanyaan yang perlu memasukkan pembolehubah var1, var2 dan var3 ke dalam jadual SQL. Masalahnya adalah untuk mengelakkan mentafsir pembolehubah sebagai sebahagian daripada teks pertanyaan.

Untuk menyelesaikan masalah ini, kaedah execute() menyediakan mekanisme untuk menghantar pembolehubah sebagai tupel. Kod yang diubah suai adalah seperti berikut:

<code class="language-python">cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))</code>

Sila ambil perhatian:

• Parameter dihantar sebagai tupel, (var1, var2, var3).
• Jika hanya satu parameter dilalui, tupel mesti berakhir dengan koma, (a,).

API pangkalan data mengendalikan pelarian dan petikan pembolehubah yang betul. Walau bagaimanapun, adalah penting untuk mengelak daripada menggunakan operator pemformatan rentetan (%) atas sebab berikut:

• Ia tidak melakukan pelarian atau petikan, meningkatkan risiko kelemahan suntikan SQL.
• Ia juga boleh membawa kepada serangan pemformatan rentetan yang tidak terkawal.

Atas ialah kandungan terperinci Bagaimana untuk Memasukkan Pembolehubah dengan Selamat ke dalam Pertanyaan SQL dalam Python?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!