cur.execute(sql,args)和cur.execute(sql)的区别

最新推荐文章于 2023-05-11 09:01:25 发布
转载 最新推荐文章于 2023-05-11 09:01:25 发布 · 1.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/kenD/p/11124686.html
文章标签:

#python #数据库

本文对比了两种在Python中执行SQL语句的方法,一种是直接使用字符串格式化,另一种是使用元组参数化SQL语句。指出直接使用字符串格式化存在SQL注入风险,而使用元组参数化可以增加SQL安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

轉:https://blog.youkuaiyun.com/mjjyszazc/article/details/88932664

 

方式一:

userid = “123”
sql = “select id,name from user where id = ‘%s’” % userid
cur.execute(sql)

方式二:
“”"
sql语句模板中的参数填充符是 %s 而不是 ‘%s’ ,且多个参数需要用元祖存放,单个参
数可直接传递
“”"
userid = “123”
sql = "“select id,name from user where id = %s and name =%s”
cur.execute(sql, (‘123’, ‘云天明’))

区别:
方式一会存在sql注入的风险,方式二中用python内置的方法可以对sql语句中传入的参数进行校验,在一定程度上屏蔽掉sql注入,增加了sql的安全性,在不便直接使用sqlArchemy框架(底层实现也是调用的方式二)的情况下,建议选择方式二
---------------------
作者:凌寒独自开
来源:优快云
原文:https://blog.youkuaiyun.com/mjjyszazc/article/details/88932664
版权声明:本文为博主原创文章,转载请附上博文链接!

转载于:https://www.cnblogs.com/kenD/p/11124686.html

Mr.Gu
关注
40、动态 SQL 语句执行与描述:EXECUTE IMMEDIATE、PREPARE、EXECUTE DESCRIBE 详解
s3t4u的博客
07-09 25
本文详细介绍了动态 SQL 中的关键语句,包括 EXECUTE IMMEDIATE、PREPARE、EXECUTE DESCRIBE,通过示例展示了它们的使用方法适用场景。同时分析了动态 SQL 的性能优化策略常见错误处理方式,帮助开发者更好地掌握动态 SQL 的应用技巧。
Python数据库操作
EwanRenton
07-26 345
Python DB API Python 访问数据库的统一接口程序 数据库连接对象 - connection 数据库交互对象 - cursor 数据库异常对象 - exceptions Python mysql 开发环境 需要安装mysqldb 模块 mysql数据库连接对象connection import Mysqldb conn = Mysqldb.Connect( ...
Python基础语法13--MySQL数据库操作
nikeylee的博客
11-03 1024
一、MySQL数据库 python3 与MySQL 进行交互编程,需要安装 pymysql 库:pip install --user pymysql 1、操作mysql数据库流程 引用API模块; 获取与数据库的连接; 执行sql语句,或存储过程; 关闭数据库连接。 2、 ...
cursor.execute(sql1, args),其他args中占位符都要是%s
m0_62740520的博客
05-12 1432
args = [result_blood_min, result_blood_max, result_tem, result_heart, date_alcohol] sql1 = "UPDATE car_now SET blood_min = %f ,blood_max= %f,body= %f,heart= %f ,alcohol= %s WHERE id=1;" cursor.execute(sql1, args) query = query % self._escape_args(arg.
cur.execute(sql,args)cur.execute(sql)区别及:1:2:3
一个本科小生的奋斗史
03-10 1207
python代码示例: 方式一: userid = “123” sql = “select id,name from user where id = ‘%s’” % userid cur.execute(sql) 方式二: “”" sql语句模板中的参数填充符是 %s 而不是 ‘%s’ ,且多个参数需要用元祖存放,单个参 数可直接传递 “”" userid = “123” sql = "“select id,name from user where id = %s and name =%s” cur.
5. Python爬虫进阶基础——MySQL数据库操作
简时刻的博客
07-18 2871
目录 1. 连接MySQL 2. 执行SQL语句 3. 创建表 4. 插入数据 5. 查看数据 6. 修改数据 7. 删除数据 1. 连接MySQL 语法格式: connect(host='127.0.0.1',user='root',passwd='',db='test') 其中,host代表服务器名;user为登录用户名;passwd代表指定用户的密码;db为所需要连接的数据库。 代码实例: import MySQLdb ...
try: conn = dmPython.connect(server=host, port=port, user=user, password=passwd) cur = conn.cursor() sql = "select distinct object_name from All_OBJECTS where OBJECT_TYPE = 'SCH';" cur.execute(sql) ret = cur.fetchall() for i in ret: if not i[0] in dm_own_databases: ret_list.append(i[0]) cur.close() conn.close() return True, ret_list except Exception as e: logDBScan.error("dm连接失败:{}".format(e)) return False, False 这是达梦数据库的测试连接,也按照MySQL的修改一下错误返回参数
最新发布
07-17
cur.execute(sql) ret = cur.fetchall() # 过滤系统内置模式 for row in ret: schema_name = row[0] if schema_name not in dm_own_databases: ret_list.append(schema_name) return True, ret_list ...
Python脚本之操作MySQL【一】
谢智超的博客
01-04 877
Python操作MySQL-实际代码
解释: self.cur.execute("INSERT INTO User values(?,?,?,?)", (value[0], value[0], value[1], Time))
03-29
public static void main(String[] args) { Scanner input = new Scanner(System.in); int[] arr = {2, 5, 3, 8, 7, 1, 9, 4, 6}; System.out.print("请输入要查找的数字:"); int x = input.nextInt(); int ...
python操作MySQL数据库
PiaoYiLingDong的博客
11-30 545
使用python连接MySQL数据库,使用python操作数据库
python操作MySQL数据库(增 删 改 查)续篇
快递小可的博客
11-12 2851
python操作MySQL数据库(增 删 改 查)续篇
Python操作mysql数据库
m0_63040701的博客
05-11 923
Python操作mysql数据库
构造类实现mysql增改查以及常用的方法
我是一言
01-16 719
几个知识点 cur.execute()返回值是影响条数 fetchone()是取结果集中的第一条,所以多条里取一条记得让目标数据在第一条才能用这个方法 fetchmany() 读取多条 fetchall()获取全部数据 cursor.rownumber 获取当前游标位置 cursor.scroll(2,mode='relative')将游标前移2个位置 conn.rollback()回滚事务 ...
Python进阶-----操作mysql数据库
m0_73633088的博客
03-19 1402
前面学习了MySQL的基础语句,就有人会问,那怎么去通过编程语言来操作mysql数据库呢,这总不能只能用sql指令来去操作吧?答案是肯定可以通过编程语言去操作的,只是sql指令是操作数据库的基础指令,编程语言只是其辅助作用的,把数据库与其他程序进行结合。那这一期我就来讲解怎么去通过Python去连接MySQL数据库,同时实现数据库等相关操作。
python中的myql的execute()
BJ1599449的博客
06-17 2937
python中的myql的execute() executesqlargs)方法注意事项: 1、execute方法中sql语句占位符是%s,与mysql中的?不同。 2、%s必须用括号包裹,如 insert into teacher(name) values (%s) 正确 insert into teacher(name) values %s 报错 3、args一般是list或tuple格式,如果只有一个参数,可直接传入 例子 while True:.
python如何防止sql注入_python防止sql注入的方法
weixin_39947961的博客
12-03 607
python防止sql注入的方法:1. 使用cursor.execute(sql, args)的参数位:sql_str = "select * from py_msgcontrol.py_msgcontrol_file_base_info where file_name = %s"args = ["12';select now();"]conn = pymysql.connect(**conn_d...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值