python 操作数据库( MySQLdb/pymysql)构造sql语句,避免引号问题)

2019年6月9日 321次阅读 来源: dawsongzhao
  • 不要用字符串格式化方式、拼接SQL语句
    • SQL注入风险
    • 操作的内容中有单引号(‘)、双引号(“)、转义符时出错
  • 使用数据库操作内库提供的方法
    • pymysql
# Don't do:
sql = "INSERT INTO TABLE_A (COL_A,COL_B) VALUES (%s, %s)" % (val1, val2)
cursor.execute(sql)

# Do:
sql = "INSERT INTO TABLE_A (COL_A,COL_B) VALUES (%s, %s)"
cursor.execute(sql, (val1, val2))
    原文作者:dawsongzhao
    原文地址: https://www.jianshu.com/p/55466429ac38
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞