異なる Python DB-API 実装では、異なるプレースホルダーが使用できるため、どのプレースホルダーを使用しているかを確認する必要があります。たとえば (MySQLdb を使用):

または (Python 標準ライブラリの sqlite3 を使用):

または他のメソッド (VALUES の後に、(:1, :2, :3) を使用するか、「名前付きスタイル」(:fee, : fie、:fo) または (%(fee)s, %(fie)s, %(fo)s)、この場合、2 番目のパラメーターが渡されるときに辞書を使用する必要があります。 execute関数に)。使用している DB API モジュールの paramstyle 文字列定数を確認し、 http://www.python.org/dev/peps/pep-0249/ の paramstyle を参照してください。すべてのパラメータの受け渡し方法を理解してください。

リーリー

パラメータはタプル (a, b, c) として渡されることに注意してください。パラメーターを 1 つだけ渡す場合、タプルはコンマ (a,) で終わる必要があります。

データベース API は変数を適切にエスケープし、引用符で囲みます。文字列フォーマット演算子 (%) は使用しないように注意してください。

エスケープや引用は行いません。
SQL インジェクション
2. など、制御できない文字列フォーマット攻撃に対して脆弱です。