SQL

如何在Python的SQL语句中使用变量?

发布于 2021-05-10 20:50:12

好的,所以我在Python方面没有那么丰富的经验。

我有以下Python代码:

cursor.execute("INSERT INTO table VALUES var1, var2, var3,")

其中var1是整数,var2var3是字符串。

如何在没有python的情况下编写变量名称,并将其作为查询文本的一部分?

关注者
0
被浏览
139
举报
1 个回答
  • 面试哥
    面试哥 2021-05-10
    为面试而生,有面试问题,就找面试哥。
    cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

    请注意,参数作为元组传递。

    数据库API会正确地对变量进行转义和引用。注意不要使用字符串格式运算符(%),因为

    1. 它不会进行任何转义或引用。
    2. 它容易受到不受控制的字符串格式攻击,例如SQL注入


知识点
面圈网VIP题库

面圈网VIP题库全新上线,海量真题题库资源。 90大类考试,超10万份考试真题开放下载啦

去下载看看