如何在Python3中将输入转义为MySQL数据库？

虽然“已解决”的答案有效，但这不是最佳做法。使用符合Python DBI的库时，您应该使用绑定变量而不是格式化字符串并将其传递给执行。这种方法存在固有的危险。

因此，这是正确的方法：

request[1]

请注意，这不是格式字符串，而是传递给执行游标的绑定变量。

有关详细信息：cursor.execute("SELECT * FROM `Codes` WHERE `ShortCode` = %s", text)

解决了。在PyMySQL中，正确的方法是这样的：

Python DBI PEP

import pymysql import sys conn = pymysql.connect(host="localhost", user="test", passwd="", db="test") cursor = conn.cursor() text = conn.escape(request[1]) cursor.execute("SELECT * FROM `Codes` WHERE `ShortCode` = {}".format(text)) cursor.close() conn.close() 线是逃脱代码的地方。在PyMySQL代码中找到它。在那里，text = conn.escape(request[1])是输入。

准备使用辅助功能

request[1]

用法示例

def mysql_insert(conn, table, row):
    cols = ', '.join('`{}`'.format(col) for col in row.keys())
    vals = ', '.join('%({})s'.format(col) for col in row.keys())
    sql = 'INSERT INTO `{0}` ({1}) VALUES ({2})'.format(table, cols, vals)
    conn.cursor().execute(sql, row)
    conn.commit()

参考：insert_into(conn, 'people', { 'firstname': 'John', 'lastname': 'Doe', 'age': 18, })

https://github.com/PyMySQL/PyMySQL/blob/master/pymysql/cursors.py#L157-L158

If args is a list or tuple, %s can be used as a placeholder in the query.
If args is a dict, %(name)s can be used as a placeholder in the query.