इस प्रकार आप किसी कथन में पैरामीटर जोड़ते हैं।
sql = "INSERT INTO my_table VALUES (%s, %s, %s);"
cursor.execute(sql, [string1, string2, string3])
देखें MySQLCursor.execute()
।
इस उदाहरण में आपको मानों को स्पष्ट रूप से उद्धृत करने की आवश्यकता नहीं है क्योंकि आप उन्हें अपने SQL में ग्लू नहीं कर रहे हैं। साथ ही, यह अधिक सुरक्षित है, क्योंकि यदि स्ट्रिंग में एक अंतिम उद्धरण है और उनमें कुछ दुर्भावनापूर्ण SQL हैं, तो इसे निष्पादित नहीं किया जाएगा।
आप तालिका नाम को पैरामीटर के रूप में नहीं जोड़ सकते हैं, इसलिए यदि वह चर में था तो आप करेंगे इसे अपने SQL में चिपकाना होगा:
sql = "INSERT INTO {} VALUES (%s, %s, %s);".format(table_name)