Pengikatan Pembolehubah dalam Pernyataan SQL Menggunakan Python
Dalam Python, adalah penting untuk menghantar pembolehubah ke dalam pernyataan SQL tanpa memasukkannya sebagai sebahagian daripada pertanyaan rentetan. Ini menghalang serangan suntikan SQL dan memastikan pengendalian parameter yang betul.
Untuk mencapai ini, gunakan kaedah cursor.execute() dengan ruang letak (cth., %s untuk rentetan, %d untuk integer dan '%f' untuk nilai titik terapung) untuk mewakili pembolehubah.
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))Perhatikan bahawa parameter kepada kaedah execute() mestilah tuple, walaupun anda melepasi satu nilai. Untuk menunjukkan satu parameter, gunakan tuple dengan koma belakang:
cursor.execute("INSERT INTO table VALUES (%s)", (var1,))API pangkalan data mengendalikan pelepasan dan petikan pembolehubah yang betul. Elakkan daripada menggunakan operator pemformatan rentetan (%) kerana ia tidak melakukan sebarang pelarian atau petikan, menjadikan aplikasi terdedah kepada serangan. Selain itu, adalah penting untuk menggunakan pernyataan yang disediakan (seperti yang ditunjukkan di sini) dan bukannya menggabungkan rentetan untuk membina pernyataan SQL, kerana ia meningkatkan keselamatan dan prestasi.
Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Mengikat Pembolehubah dengan Selamat dalam Pernyataan SQL Menggunakan Python?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
