如何在 Python 中的 SQL 查询中安全地使用变量？

在 Python 中的 SQL 语句中使用变量

在 Python 中处理 SQL 语句时，您可能需要将变量合并到查询中。为了确保正确执行这些查询，避免将变量名称作为 SQL 文本本身的一部分至关重要。

示例场景：

考虑以下代码：

cursor.execute("INSERT INTO table VALUES var1, var2, var3")

其中 var1 是整数，var2 和 var3 是字符串。这种方法会导致错误，因为 Python 会将变量名称解释为查询的一部分，从而导致无效的 SQL 语句。

解决方案：

解决此问题，您应该在 SQL 语句中使用占位符，并使用execute() 方法将变量值作为元组传递。下面是更正后的代码：

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

在此示例中，占位符 %s 表示变量值，元组 (var1, var2, var3) 包含应插入数据库的实际值。

注意：使用元组传递多个参数是必不可少的。如果需要传递单个参数，则仍然必须使用尾随逗号的元组：

cursor.execute("INSERT INTO table VALUES (%s)", (var1,))

好处：

使用占位符和元组有几个好处:

• 正确的转义和引用：数据库API正确处理变量的转义和引用，确保您的数据免受SQL注入和其他漏洞的影响。
• 避免字符串格式化：依赖字符串格式化运算符 (%) 可能会导致安全风险和不受控制的字符串格式化攻击。

以上是如何在 Python 中的 SQL 查询中安全地使用变量？的详细内容。更多信息请关注PHP中文网其他相关文章！