Python 中使用不定长字典构造 sql 语句问题

d = {'name': 123, 'age': 456}
keys = d.keys()
sql = 'insert into (%s) value (%s)' % (','.join('%s' % k for k in keys), ','.join('%%s' for _ in keys))
cr.execute(sql, tuple(d.values()))

后面是 %s for_ in keys
关键是 构造出 'insert into (name, age) values (%s, %s)' 就行了

我寻思这加号和直接字符串方法在安全上有区别吗？不都是直接拼接 SQL 吗？

没看懂+怎么会不安全，用了多线程吗

def insert(self, table, **kw):
fields, values = zip(*kw.items())
fields_str = ','.join(fields)
values_str = ','.join(['?'] * len(fields))
sql = f"INSERT INTO {table} ({fields_str}) values ({values_str})"
self.con.execute(sql, values)

注入警告

>>> d = {'name': 123, 'age': 456}
>>> 'insert into table{0} values{1};'.format(tuple(d.keys()),tuple(d.values()))
"insert into table('name', 'age') values(123, 456);"
>>>

但是不建议一条一条的插入，最好用批量插入，数据量大了效率差万倍。
建一个插入模板
>> sql = 'insert into (name, age) values (%s, %s)'
>> conn.executemany(sql, list(d.values()))
大多数 python 的 mysql 驱动接口都带 executemany()方法。

@xpresslink 他这是不定长的字典，键多少不固定，批量不了

防注入就用框架吧... 我现在用的 databases, 貌似是基于 aiomysql 和 sqlalchemy 的, 直接丢字典进去就行了...

mysql 那几个库好像自带防注入的，只要你不把数据直接 format 到语句里，所以你提的那三种方式没啥区别

@todd7zhang 这样可行，感谢方案

@xpresslink 可以，简洁明了

@sikong31 方案可以，感谢

@xpresslink 感谢提醒

@Trim21 我用了 mysql python 官方连接器，有空我了解下 SQLAlchemy，多谢