pythonhowto
Python是一种流行的编程语言，常用于数据科学、机器学习和Web开发等领域。而SQL是结构化查询语言的缩写，是用于在关系型数据库中进行数据操作的语言。

当使用Python与数据库交互时，需要执行SQL查询。危险的做法是将值直接插入到SQL查询中，因为这可能会导致SQL注入攻击。为了避免这种情况，可以使用placeholders（占位符）来绑定值到SQL查询中。

Placeholders是指在SQL查询中使用特殊符号代替实际的值，并在执行查询时将这些值绑定到占位符上。这个过程被称为参数化查询，它可以有效地防止SQL注入攻击。

在Python中，通过在SQL查询字符串中使用“？”或“%s”等符号来表示占位符。并使用参数列表或字典来向占位符绑定值。

下面是一个使用占位符的示例：


import sqlite3

# 创建连接
conn = sqlite3.connect('example.db')

# 创建游标
c = conn.cursor()

# 使用占位符执行查询
symbol = 'RHAT'
c.execute('SELECT * FROM stocks WHERE symbol=?', (symbol,))

# 获取结果
result = c.fetchall()

# 关闭游标和连接
c.close()
conn.close()


在上面的代码中，我们使用占位符“？”来表示要绑定的值，并将该值作为参数列表提供给execute方法。这将执行一个查询，返回符合条件的记录。

除了使用“？”符号之外，还可以使用“%s”符号来表示占位符，并使用字典来向占位符绑定值。例如：


import mysql.connector

# 创建连接
conn = mysql.connector.connect(user='root', password='password', database='example')

# 创建游标
c = conn.cursor()

# 使用占位符执行查询
params = {'symbol': 'RHAT'}
c.execute('SELECT * FROM stocks WHERE symbol=%(symbol)s', params)

# 获取结果
result = c.fetchall()

# 关闭游标和连接
c.close()
conn.close()


在上面的代码中，我们使用占位符“%s”来表示要绑定的值，并将值作为字典的键值对提供给execute方法。这将执行一个查询，返回符合条件的记录。

需要注意的是，不同的数据库可能使用不同的占位符符号和语法，因此应该根据所使用的数据库进行适当的调整。