Đây là cách bạn thêm các tham số vào một câu lệnh.
sql = "INSERT INTO my_table VALUES (%s, %s, %s);"
cursor.execute(sql, [string1, string2, string3])
Xem MySQLCursor.execute()
.
Trong ví dụ này, bạn không phải trích dẫn rõ ràng các giá trị bởi vì bạn không gắn chúng vào SQL của mình. Ngoài ra, điều này an toàn hơn, bởi vì nếu chuỗi chứa một dấu ngoặc kép và chúng là một số SQL độc hại, nó sẽ không được thực thi.
Bạn không thể thêm tên bảng làm tham số, vì vậy nếu tên đó nằm trong một biến, bạn sẽ phải gắn nó vào SQL của bạn:
sql = "INSERT INTO {} VALUES (%s, %s, %s);".format(table_name)
