如何在Python中使用SQL语句中的变量?

作者

我有以下Python代码:

cursor.execute("插入表值var1、var2、var3,")

其中var1是整数,var2var3是字符串

如果Python不将变量名作为查询文本的一部分,如何编写变量名

执行(“插入到表值(%s,%s,%s)”,(var1,var2,var3))

请注意,参数是作为元组传递的

数据库API对变量进行正确的转义和引用。注意不要使用字符串格式运算符(%),因为

  1. 它不做任何转义或引用
  2. 它容易受到不受控制的字符串格式攻击,例如SQL注入

相关文章:

  1. 如何从SQL Server中的SELECT更新?
  2. 将具有默认值的列添加到SQL Server中的现有表中
  3. 数据库索引是如何工作的?[闭门]
  4. 在SQL表中查找重复值

发表评论