如何在Python SQL INSERT语句中安全使用变量？

在 Python 中的 SQL 语句中使用变量

向 SQL 表插入数据时，必须利用参数安全、可靠地传递变量值有效地。让我们探索如何在 Python 代码中编写变量名称而不将它们作为查询文本的一部分。

考虑以下代码：

cursor.execute("INSERT INTO table VALUES var1, var2, var3")

其中 var1 是整数，var2 和 var3 是字符串。如何避免 Python 将这些变量合并到查询字符串中？

解决方案：

要实现此目的，请将变量作为元组传递给execute()方法：

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

说明：

• %s 占位符表示将替换到查询中的变量。
• 元组 (var1, var2, var3) 提供实际值占位符。
• Python 代码现在看起来像参数替换语句，而不是字符串操作。

重要提示：

数据库 API执行正确的变量转义和引用。避免使用字符串格式化运算符 (%) 进行参数替换，因为它们：

• 不提供转义或引用保护。
• 使代码容易受到 SQL 注入攻击。

以上是如何在Python SQL INSERT语句中安全使用变量？的详细内容。更多信息请关注PHP中文网其他相关文章！