python 操作数据库( MySQLdb/pymysql)构造sql语句,避免引号问题)

  • 不要用字符串格式化方式、拼接SQL语句
    • SQL注入风险
    • 操作的内容中有单引号(')、双引号(")、转义符时出错
  • 使用数据库操作内库提供的方法
    • pymysql
# Don't do:
sql = "INSERT INTO TABLE_A (COL_A,COL_B) VALUES (%s, %s)" % (val1, val2)
cursor.execute(sql)

# Do:
sql = "INSERT INTO TABLE_A (COL_A,COL_B) VALUES (%s, %s)"
cursor.execute(sql, (val1, val2))
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容