在 Python 中處理資料庫查詢時,通常需要在查詢語句中包含變數。但是,請務必以防止語法錯誤或安全漏洞的方式進行操作。
考慮以下 Python 程式碼:
cursor.execute("INSERT INTO table VALUES var1, var2, var3")在此程式碼中,var1 是一個整數,var2 和 var3 是字串。但是,當 Python 嘗試將名稱 var1、var2 和 var3 作為查詢文字本身的一部分包含在內時,就會出現問題,導致查詢無效。
為了解決這個問題,可以使用資料庫 API 提供的佔位符替換機制。以下是使用佔位符重寫程式碼的方法:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))在此改進後的程式碼中:
%s 代表一個要填入值的佔位符。 (var1, var2, var3) 是一個包含要插入值的元組。 透過將值作為元組傳遞,資料庫 API 會處理必要的變數轉義和引用,確保與資料庫相容並防止潛在的安全風險。
請注意,對於單一參數,需要一個帶有尾隨逗號的元組:
cursor.execute("INSERT INTO table VALUES (%s)", (var1,))此外,避免使用字串格式化運算子 (%) 來插入變量,因為它可能導致安全漏洞,並且資料庫 API 不支援它。
以上是如何使用Python安全地將變量插入SQL查詢?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
