अधिक विशिष्ट होने के लिए ... cursor.execute()
विधि एक वैकल्पिक तर्क लेती है जिसमें SQL टेम्पलेट/कथन में उद्धृत और प्रक्षेपित किए जाने वाले मान होते हैं। यह एक साधारण %
. के साथ नहीं किया जाता है ऑपरेटर! cursor.execute(some_sql, some_params)
है नहीं cursor.execute(some_sql % some_params)
. के समान
पायथन डीबी-एपीआई
निर्दिष्ट करता है कि किसी भी अनुपालक ड्राइवर/मॉड्यूल को एक .paramstyle
. प्रदान करना होगा विशेषता जो 'qmark', 'numeric', 'named', 'format', या 'pyformat' में से कोई भी हो सकती है ... थोड़ा मुंगिंग। यह अभी भी आपके SQL स्ट्रिंग्स में मानों को उद्धृत करने और इंटरपोलेट करने की कोशिश करने से अधिक सुरक्षित होना चाहिए।
चेतावनी पढ़कर मैं विशेष रूप से खुश हुआ स्ट्रिंग ... प्रक्षेप ... बंदूक की नोक पर भी नहीं। साइकोपीजी डॉक्स में।