我有以下Python代码:
cursor.execute(";插入表值var1、var2、var3,";)
其中var1
是整数,var2
和var3
是字符串
如果Python不将变量名作为查询文本的一部分,如何编写变量名
执行(“插入到表值(%s,%s,%s)”,(var1,var2,var3))
请注意,参数是作为元组传递的
数据库API对变量进行正确的转义和引用。注意不要使用字符串格式运算符(%
),因为
- 它不做任何转义或引用
- 它容易受到不受控制的字符串格式攻击,例如SQL注入