如何在 Python 中安全地將變數插入 SQL 查詢？

在 Python 中使用 SQL 語句中的變數

在 Python 中處理 SQL 語句時，請務必注意變數是如何融入查詢的。在提供的 Python 程式碼中，有一個查詢需要將變數 var1、var2 和 var3 插入 SQL 表中。問題在於避免將變數解釋為查詢文本的一部分。

為了解決這個問題，execute() 方法提供了一種機制，可以將變數作為元組傳遞。修改後的程式碼如下：

<code class="language-python">cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))</code>

請注意：

• 參數作為元組傳遞，(var1, var2, var3)。
• 如果只傳遞一個參數，元組必須以逗號結尾，(a,)。

資料庫 API 處理變數的正確轉義和參考。但是，避免使用字串格式化運算子 (%) 至關重要，原因如下：

• 它不執行轉義或引用，增加了 SQL 注入漏洞的風險。
• 它也會導致不受控制的字串格式攻擊。

以上是如何在 Python 中安全地將變數插入 SQL 查詢？的詳細內容。更多資訊請關注PHP中文網其他相關文章！