在 Python 中从变量执行参数化 SQL 查询
为了防止 SQL 注入,在 Python 中执行参数化 SQL 查询时,通常建议使用以下格式:
<code class="language-python">cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3)</code>但是,关于是否可以将查询存储在变量中稍后执行的问题,值得探讨。
execute() 方法签名
要理解为什么这可能无法工作,我们需要检查 execute() 方法的签名:
<code class="language-python">cursor.execute(self, query, args=None)</code>
此方法最多需要三个参数:一个查询和一个可选的参数序列或映射。
尝试从变量执行查询
如果我们尝试执行存储在变量 sql 中的查询,例如:
<code class="language-python">sql = "INSERT INTO table VALUES (%s, %s, %s)" cursor.execute(sql)</code>
我们将收到错误,因为 sql 包含四个参数,包括变量本身。
分离查询和参数
要从变量执行查询,我们可以分离查询和参数:
<code class="language-python">sql = "INSERT INTO table VALUES (%s, %s, %s)" args = var1, var2, var3 cursor.execute(sql, args)</code>
在这种情况下,sql 包含查询,args 包含参数。通过指定 execute(sql, args),我们可以成功执行参数化查询。
另一种方法
或者,我们可以使用更直观的双变量方法:
<code class="language-python">sql = "INSERT INTO table VALUES (%s, %s, %s)" cursor.execute(sql, (var1, var2, var3))</code>
这种方法消除了为查询和参数创建单独变量的需要。
以上是我可以在 Python 中执行存储在变量中的参数化 SQL 查询吗?的详细内容。更多信息请关注PHP中文网其他相关文章!
