我知道在Python中格式化SQL查询的正确方法是这样的:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3)
这样它就可以防止sql注入.我的问题是,是否有办法将查询放入变量然后执行它?我尝试过以下示例但收到错误.是否有可能做到这一点?
sql="INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3
cursor.execute(sql)