Geef queryparameters gewoon door als een tweede argument om execute , zoals:
>>> cur.execute(
... """INSERT INTO some_table (an_int, a_date, a_string)
... VALUES (%s, %s, %s);""",
... (10, datetime.date(2005, 11, 18), "O'Reilly"))
Dan worden alle parameters correct ge-escaped.
Dit komt omdat psycopg2 volgt Python Database API-specificatie v2.0
en ondersteunt veilige geparametriseerde zoekopdrachten.
Zie ook:
- Geparameteriseerde query's met psycopg2 / Python DB-API en PostgreSQL
- psycopg2-equivalent van mysqldb.escape_string?