クエリでパラメータを使用するようにします。注射の可能性がはるかに少ない:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
クレジット(および詳細)はこちら: PythonのSQLステートメントで変数を使用するにはどうすればよいですか?
また、DanBracukは正しいです。SQLを実行する前にパラメータを検証していない場合は必ず検証してください
クエリでパラメータを使用するようにします。注射の可能性がはるかに少ない:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
クレジット(および詳細)はこちら: PythonのSQLステートメントで変数を使用するにはどうすればよいですか?
また、DanBracukは正しいです。SQLを実行する前にパラメータを検証していない場合は必ず検証してください