如何将变量安全地插入Python中的SQL查询中？

在 Python 中使用 SQL 语句中的变量

在 Python 中处理 SQL 语句时，务必注意变量是如何融入查询的。在提供的 Python 代码中，有一个查询需要将变量 var1、var2 和 var3 插入 SQL 表中。问题在于避免将变量解释为查询文本的一部分。

为了解决这个问题，execute() 方法提供了一种机制，可以将变量作为元组传递。修改后的代码如下：

<code class="language-python">cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))</code>

请注意：

• 参数作为元组传递，(var1, var2, var3)。
• 如果只传递一个参数，元组必须以逗号结尾，(a,)。

数据库 API 处理变量的正确转义和引用。但是，避免使用字符串格式化运算符 (%) 至关重要，原因如下：

• 它不执行转义或引用，增加了 SQL 注入漏洞的风险。
• 它还会导致不受控制的字符串格式攻击。

以上是如何将变量安全地插入Python中的SQL查询中？的详细内容。更多信息请关注PHP中文网其他相关文章！