在python的文档中有大概这样一段描述：

在使用sql语句操纵数据库的时候，不应该直接将字符串连接起来作为sql语句进行查询，因为直接将外部传入的字符串代入到sql语句中就会产生sql注入的问题。

比如下面是一个错误的用法

symbol = 'IBM'

c.execute("... where symbol = '%s'" % symbol)

#错误的用法，会带来sql注入

在实际使用的时候，应该使用数据库API提供的参数替代方法传递外部的参数。也就是常说的“一个萝卜一个坑”。把需要执行的sql参数作为数据库API的某个函数的参数传递进去，这样在API内部就做了对敏感字符的转义工作。

下面是正确的用法：

t = (symbol,)

c.execute('select * from stocks where symbol=?', t)

# Larger example

for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00), ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00), ('2006-04-06', 'SELL', 'IBM', 500, 53.00), ]:

c.execute('insert into stocks values (?,?,?,?,?)', t)

在python中，这种语法的用法是：在sql语句的任意位置使用问号替代参数，然后把外部传递进来的参数放在一个数组中，然后把数组作为cursor.execute()方法的参数传递进去查询。

在python的文档中有大概这样一段描述：在使用sql语句操纵数据库的时候，不应该直接将字符串连接起来作为sql语句进行查询，因为直接将外部传入的字符串代入到sql语句中就会产生sql注入的问题。比如下面是一个错误的用法symbol = 'IBM'c.execute("... where symbol = '%s'" % symbol)#错误的用法，会带来sql注入在实际使用的时候，应该使用数据库... sql = "select id, name from test where id=%d and name='%s'" %(id, name)sql 　　　　cursor.execute(sql)微信 　　错误用法2：函数 　　　　sql = "select id, name from test where id="+ str(id) +" and name='"+. cursor.execute("select * from stocks where name=?",(item)) 只有一个参数用SQL 注入 方式来查询，查询失败，百思不得其解。 最终才知道问题出在这里，改正代码如下： str='Facebook Inc' cursor.execute("select * from stocks wher... CREATE TABLE IF NOT EXISTS users ( id INTEGER PRIMARY KEY AUTOINCREMENT, name TEXT NOT NULL, age INTEGER, gender TEXT 5. 执行SQL语句 ``` python cursor.execute(sql) 6. 提交事务 ``` python conn.commit() 完整代码如下： ``` python import sqlite 3 conn = sqlite 3.connect('database.db') cursor = conn.cursor() sql = ''' CREATE TABLE IF NOT EXISTS users ( id INTEGER PRIMARY KEY AUTOINCREMENT, name TEXT NOT NULL, age INTEGER, gender TEXT cursor.execute(sql) conn.commit() conn.close() 以上代码将创建一个名为“users”的表，包含id、name、age和gender四个字段。其 中 id为主键，自增长。name为文本类型，不能为空。age和gender为可选字段。