5回答

千巷猫影

小心在SQL查询中使用字符串插值，因为它不能正确地转义输入参数，并且会使应用程序容易受到SQL注入漏洞的影响。两者之间的差别似乎微不足道，但在现实中却是巨大的.不正确(涉及安全问题)c.execute("SELECT * FROM foo WHERE bar = %s AND baz = %s" % (param1, param2))正确(带转义)c.execute("SELECT * FROM foo WHERE bar = %s AND baz = %s", (param1, param2))它增加了这样的混乱：用于绑定sql语句中的参数的修饰符在不同的DBAPI实现中和MySQL客户端库使用的不同。printf样式语法，而不是更普遍接受的‘？’标记(由例如。python-sqlite).

0 0

0

茅侃侃

你有几个选择。您将希望能够适应python的字符串迭代。当你想知道这样的事情时，你可能会在未来的搜索中获得更多的成功。更适合查询：some_dictionary_with_the_data = {     'name': 'awesome song',     'artist': 'some band',     etc...}cursor.execute ("""             INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)             VALUES                 (%(name)s, %(artist)s, %(album)s, %(genre)s, %(length)s, %(location)s)         """, some_dictionary_with_the_data)考虑到您可能已经在一个对象或字典中拥有所有数据，第二种格式将更适合您。此外，当您必须返回并在一年内更新此方法时，必须计算字符串中的“%s”外观也很糟糕：)

0 0

0

青春有我

链接的文档提供了以下示例：   cursor.execute ("""          UPDATE animal SET name = %s          WHERE name = %s        """, ("snake", "turtle"))    print "Number of rows updated: %d" % cursor.rowcount因此，您只需将其改编为您自己的代码-示例：cursor.execute ("""             INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)             VALUES                 (%s, %s, %s, %s, %s, %s)         """, (var1, var2, var3, var4, var5, var6))(如果Song Length是数字，则可能需要使用%d而不是%s)。

0 0

0