在 Python 中將變量整合到 SQL 查詢中
在使用 Python 執行 SQL 查詢時,通常需要將變量整合到查詢中。例如,您可能希望將數據插入到數據庫表中,而這些值存儲在變量中。
問題
考慮以下 Python 代碼:
<code class="language-python">cursor.execute("INSERT INTO table VALUES var1, var2, var3")</code>其中,var1 是一個整數,var2 和 var3 是字符串。當嘗試編寫變量名而沒有讓 Python 將它們作為查詢文本的一部分時,就會出現問題。
解決方案
為了解決這個問題,您可以在 SQL 查詢中使用佔位符,並將變量值作為元組傳遞:
<code class="language-python">cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))</code>請注意,元組包含變量值,即使只傳遞一個參數,也要在元組末尾添加逗號。這確保了數據庫 API 對變量進行正確的轉義和引用。
警告
避免使用字符串格式化運算符 (%) 進行變量替換,因為它不執行轉義或引用,並且容易受到 SQL 注入攻擊。
以上是如何安全地將 Python 變數合併到 SQL 查詢?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
