Python

Pythonでデータベースクエリを処理する場合、通常、クエリステートメントに変数を含める必要があります。ただし、構文エラーやセキュリティの脆弱性を防ぐように動作するようにしてください。

次のPythonコードを検討してください：

cursor.execute("INSERT INTO table VALUES var1, var2, var3")

このコードでは、 var1 は整数です。ただし、Pythonが名前 var1 、 var2 、および var3 をクエリテキスト自体の一部として含めようとすると、問題が発生し、クエリの不変が生じます。 この問題を解決するために、データベースAPIによって提供されるプレースホルダー交換メカニズムを使用できます。プレースホルダーを使用してコードを書き換える方法は次のとおりです。 cursor.execute（ "テーブル値に挿入（％s、％s、％s）"、（var1、var2、var3））

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

は、値を記入するためのプレースホルダーを表します。

• （var1、var2、var3）は、挿入する値を含むタプルです。
• タプルとして値を渡すことにより、データベースAPIは必要な変数エスケープと参照を処理し、データベースの互換性を確保し、潜在的なセキュリティリスクを防ぎます。 単一のパラメーターの場合、後続のコンマがあるタプルが必要であることに注意してください：

cursor.execute（ "テーブル値に挿入（％s）"、（var1、））