一尘不染

如何将参数化的sql查询放入变量中,然后在Python中执行?

python

我了解在Python中格式化sql查询的正确方法是这样的:

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3)

这样可以防止sql注入。我的问题是是否有一种方法可以将查询放入变量然后执行?我已经尝试了下面的示例,但收到错误。是否有可能做到这一点?

sql="INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3
cursor.execute(sql)

阅读 128

收藏
2021-01-20

共1个答案

一尘不染

这是cursor.execute的呼叫签名:

Definition: cursor.execute(self, query, args=None)

    query -- string, query to execute on server
    args -- optional sequence or mapping, parameters to use with query.

因此execute最多期望3个参数(args是可选的)。如果给出了args,则应该是一个序列。所以

sql_and_params = "INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3
cursor.execute(*sql_and_params)

不上班,因为

cursor.execute(*sql_and_params)

将元组sql_and_params扩展为4个参数(同样,仅执行期望3)。

如果您真的必须使用

sql_and_params = "INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3

那么您必须将其分解为cursor.execute

cursor.execute(sql_and_params[0],sql_and_params[1:])

但是我认为仅使用两个变量会感到更加愉快:

sql = "INSERT INTO table VALUES (%s, %s, %s)"
args= var1, var2, var3
cursor.execute(sql, args)
2021-01-20