1. 首页
  2. 问答
  3. 转换为SQL风格的字符串

转换为SQL风格的字符串

2013-08-26 58 views
0

我有3个变量:转换为SQL风格的字符串

var1="abc" 
var2="def" 
sqlPrefix = "select x,y in myTable where myVar in "

我想创建的('abc','def')一个字符串,所以我可以直接串联,为的sqlPrefx结束,所以我最后的字符串是select x,y in myTable where myVar in ('abc','def')

来源

2013-08-26 user1008636

+5

使用SQL参数;不要将值插入字符串中。 –

回答

2

一般来说,为了避免sql注入,你不应该像这样手动构建sql查询。

但是,仅供参考,这里是你如何 可以 不应该这样做:

sqlPrefix = "select x,y in myTable where myVar in ('%s', '%s')" % (var1, var2)

此外,见:How to use variables in SQL statement in Python?

来源

2013-08-26 22:32:27 alecxe

+0

我会说**不能**而不是**不应该** –

相关问题

 相关问题