在Python中處理SQL查詢時,使用參數化查詢來防止SQL注入至關重要。這涉及到用包含實際值的變數替換參數佔位符(例如,'%s')。
一個常見的問題是,是否可以將參數化SQL查詢儲存在變數中,然後執行它。讓我們來探討一下語法以及如何實現這一點。
考慮以下Python程式碼:
<code class="language-python">sql = "INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3 cursor.execute(sql)</code>
不幸的是,這段程式碼會引發錯誤,因為cursor.execute()最多接受三個參數:查詢字串和可選參數。在這個例子中,我們有四個參數,由元組(sql, var1, var2, var3)表示。
有兩種方法可以從變數執行參數化SQL查詢:
方法一:展開參數
我們可以將包含查詢和參數的元組的參數展開到cursor.execute()中:
<code class="language-python">sql_and_params = "INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3 cursor.execute(*sql_and_params)</code>
這會將元組擴展為四個參數,但這操作方式可能顯得笨拙。
方法二:分離查詢與參數
為了清晰起見,最好將SQL查詢和參數分離到兩個變數中:
<code class="language-python">sql = "INSERT INTO table VALUES (%s, %s, %s)" args = (var1, var2, var3) cursor.execute(sql, args)</code>
這種方法更簡潔,也更容易閱讀和維護。
總之,當在Python中從變數執行參數化SQL查詢時,需要展開參數或將查詢和參數分離到不同的變數中。通常推薦第二種方法,因為它更簡單明了。
以上是如何在 Python 中執行儲存在變數中的參數化 SQL 查詢?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
