是否有人知道如何将输入变量(用户输入)放入Python中的SQLQuery中?SQLQuery中的输入变量
x = str(input("some text"))
sqlQuery = "SELECT * FROM tblname WHERE columname = x "
非常感谢!
是否有人知道如何将输入变量(用户输入)放入Python中的SQLQuery中?SQLQuery中的输入变量
x = str(input("some text"))
sqlQuery = "SELECT * FROM tblname WHERE columname = x "
非常感谢!
您可以连接字符串,但请注意,这会让您容易受到SQL注入的攻击。
这将使你的榜样
x = str(input("some text"))
sqlQuery = ("SELECT * FROM tblname WHERE columname = " + x)
,或者一个更可读的版本
sqlQuery = "SELECT * FROM tblname WHERE columname = %s" % (x)
真的吗?那么SQL注入呢? – apomene
你应该在输入中处理,问题是如何在查询中输入一个变量,我同意你应该通过输入,但这不是问题 –
我同意@apomene,你应该添加一个警告,因为例子往往会在不考虑(甚至不知道)影响的情况下复制粘贴。你的例子_does_包括用户输入... ;-) –
什么串接您的字符串和用户输入? –
了解准备语句 – Jens
https://stackoverflow.com/questions/902408/how-to-use-variables-in-sql-statement-in-python – apomene