我理解在 Python 中格式化 sql 查询的正确方法是这样的:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3)
这样它就可以防止sql注入(inject)。我的问题是是否有办法将查询放入变量然后执行它?我尝试了下面的示例,但收到错误消息。可以这样做吗?
sql="INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3
cursor.execute(sql)
最佳答案
这是 cursor.execute 的调用签名:
Definition: cursor.execute(self, query, args=None)
query -- string, query to execute on server
args -- optional sequence or mapping, parameters to use with query.
因此执行最多需要 3 个参数(args 是可选的)。 如果给出 args,它应该是一个序列。 所以
sql_and_params = "INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3
cursor.execute(*sql_and_params)
是行不通的,因为
cursor.execute(*sql_and_params)
将元组 sql_and_params 扩展为 4 个参数(同样,只执行 3 个参数)。
如果你真的必须使用
sql_and_params = "INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3
然后在将它提供给 cursor.execute 时,你必须将它分开:
cursor.execute(sql_and_params[0],sql_and_params[1:])
但我认为只使用两个变量感觉更愉快:
sql = "INSERT INTO table VALUES (%s, %s, %s)"
args= var1, var2, var3
cursor.execute(sql, args)
关于python - 如何将参数化的sql查询放入变量然后在Python中执行?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1633332/