如何解决mysql-python 中的 +<str_name> + 是什么意思?
考虑代码:
mycursor.execute("insert into patients values('"+str(patient)+"','"+name+"','"+age+"','"+gender+"','"+date+"')")
--其中患者、姓名、年龄、性别、日期为变量
我有 3 个问题:
这里有两个+是什么? 为什么这里有两个引号(单引号和双引号)?
解决方法
您代码中的 + 不是 MySQL 特有的。它用于将 Python 字符串连接在一起。您需要两个引号,因为一个(单引号)用于分隔 SQL 字符串,另一个(双引号)用于分隔 Python 字符串。
>>> name = "john"
>>> age = 55
>>> "insert into people values ('"+name+"','"+str(age)+"')"
"insert into people values ('john','55')"
但是,您永远不要对 SQL 查询使用字符串连接。它使您容易受到所谓的 SQL 注入的攻击,您可以在其中操纵查询,例如,使其删除条目而不是插入。
>>> name = "'); drop table people; --"
>>> age = ""
>>> "insert into people values ('"+name+"','"+str(age)+"')"
"insert into people values (''); drop table people; --','')"
相反,您应该使用数据库驱动程序库提供的语法在查询中安全地插入值。在 Python 中,您的代码可以重写为:
mycursor.execute("insert into patients values(%s,%s,%s)",(str(patient),name,age,gender,date))
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
