Python mysql是否準備好語句或者我需要escape_string（）？

所以是這樣的：Python mysql是否準備好語句或者我需要escape_string（）？

cursor.execute("Insert INTO visit (pid, date, diagnosisid) VALUES (%s,%s,%s)", 
(pid, date, diagnosisid))

足夠或是否需要：

cursor.execute("Insert INTO visit (pid, date, diagnosisid) VALUES (%s,%s,%s)", 
(escape_string(pid), escape_string(date), escape_string(diagnosisid)))

？

來源

2012-02-02 Mr_and_Mrs_D

第一個就足夠了;第二個將加倍你的努力，取代例如"與\"。你可以自己用

>>> c.execute("SELECT %s, %s", ('"', MySQLdb.escape_string('"'))) 
1L 
>>> c.fetchall() 
((u'"', u'\\"'),)

所以你看到第二個版本將在"之前產生不必要的\測試。所以第一個是好的。

來源

2012-02-02 14:27:43 glglgl

'（（'''，'\'\\「\''），）'在我的情況下（pymysql，沒有unicode） – 2012-02-02 14:37:06

哦，好的。更糟... – glglgl 2012-02-02 15:28:20

只要它不是一個格式化的字符串，他們真的是準備好的語句，你不應該擔心。

它可能會導致比它的價值更多的問題逃脫它兩次。

來源

2012-02-02 14:23:13

逃逸兩次**總是**會導致問題。 – glglgl 2012-02-02 14:24:36

第一個代碼示例已經對SQL注入非常安全。第二個例子會在數據庫中引起額外的引號，這很可能是而不是你想要的。

來源

2012-02-02 14:24:40

Python mysql是否準備好語句或者我需要escape_string（）？

回答

相關問題