在 Python 中将变量整合到 SQL 查询中
在使用 Python 执行 SQL 查询时,通常需要将变量整合到查询中。例如,您可能希望将数据插入到数据库表中,而这些值存储在变量中。
问题
考虑以下 Python 代码:
<code class="language-python">cursor.execute("INSERT INTO table VALUES var1, var2, var3")</code>其中,var1 是一个整数,var2 和 var3 是字符串。当尝试编写变量名而没有让 Python 将它们作为查询文本的一部分时,就会出现问题。
解决方案
为了解决这个问题,您可以在 SQL 查询中使用占位符,并将变量值作为元组传递:
<code class="language-python">cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))</code>请注意,元组包含变量值,即使只传递一个参数,也要在元组末尾添加逗号。这确保了数据库 API 对变量进行正确的转义和引用。
警告
避免使用字符串格式化运算符 (%) 进行变量替换,因为它不执行转义或引用,并且容易受到 SQL 注入攻击。
以上是如何安全地将 Python 变量合并到 SQL 查询中?的详细内容。更多信息请关注PHP中文网其他相关文章!
