我在这个网站上看到过这个问题以各种方式提出,但没有一个能完全解决我的问题。
我有一个带有单引号的sql语句,并且正在尝试在使用它进行数据库查询之前使用推荐的做法。所以声明就像
val2="abc 'dostuff'"
sql="INSERT INTO TABLE_A(COL_A,COL_B) VALUES(%s,'%s')" %(val1, val2)
a_cursor.execute(sql)
但是,当我运行这个时,我得到..
ProgrammingError: (1064,"You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'dostuff'.
我做错了什么?非常感谢努普尔
使用参数而不是字符串内插来确保数据库连接器正确转义您的值:
sql = "INSERT INTO TABLE_A(COL_A,COL_B) VALUES(%s, %s)"
a_cursor.execute(sql, (val1, val2))
mysqldb sql 参数样式使用的语法与 python 字符串格式化运算符使用的语法相同,这有点令人困惑。