在 Python 中將變數插入 SQL 語句
在 Python 中,使用變數執行 SQL 語句時,正確傳遞變數至關重要,這可以防止潛在的注入攻擊並確保正確執行。
為了將變數插入 SQL 語句,請在語句中使用佔位符並將變數作為元組傳遞。例如,考慮以下 Python 程式碼:
<code>cursor.execute("INSERT INTO table VALUES var1, var2, var3")</code>其中 var1 是一個整數,var2 和 var3 是字串。
要正確傳遞變量,請使用具有佔位符和包含變數的元組的 execute 方法:
<code>cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))</code>請注意 SQL 語句中佔位符 (%s) 的使用以及 execute 方法中元組周圍的括號。
重要的是避免使用字串格式化運算子 (%),因為它會繞過正確的轉義和引用,使查詢容易受到 SQL 注入攻擊。
以上是如何使用Python安全地將變量插入SQL語句中?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
