1. 首頁
  2. 問答
  3. 轉換爲SQL風格的字符串

轉換爲SQL風格的字符串

2013-08-26 101 views
0

我有3個變量:轉換爲SQL風格的字符串

var1="abc" 
var2="def" 
sqlPrefix = "select x,y in myTable where myVar in "

我想創建的('abc','def')一個字符串,所以我可以直接串聯,爲的sqlPrefx結束,所以我最後的字符串是select x,y in myTable where myVar in ('abc','def')

來源

2013-08-26 user1008636

+5

使用SQL參數;不要將值插入字符串中。 –

回答

2

一般來說,爲了避免sql注入,你不應該像這樣手動構建sql查詢。

但是,僅供參考,這裏是你如何 可以 不應該這樣做:

sqlPrefix = "select x,y in myTable where myVar in ('%s', '%s')" % (var1, var2)

此外,見:How to use variables in SQL statement in Python?

來源

2013-08-26 22:32:27 alecxe

+0

我會說**不能**而不是**不應該** –

相關問題

 相關問題