De meeste talen bieden een manier om generieke geparametriseerde instructies te doen, Python is niet anders. Wanneer een geparametriseerde query wordt gebruikt, zullen databases die het voorbereiden van instructies ondersteunen, dit automatisch doen.
In Python ziet een geparametriseerde query er als volgt uit:
cursor.execute("SELECT FROM tablename WHERE fieldname = %s", [value])
De specifieke stijl van parametrering kan verschillen, afhankelijk van uw stuurprogramma. U kunt uw db-module importeren en vervolgens een print yourmodule.paramstyle uitvoeren .
Van PEP-249 :
paramstijl
String constant stating the type of parameter marker formatting expected by the interface. Possible values are [2]: 'qmark' Question mark style, e.g. '...WHERE name=?' 'numeric' Numeric, positional style, e.g. '...WHERE name=:1' 'named' Named style, e.g. '...WHERE name=:name' 'format' ANSI C printf format codes, e.g. '...WHERE name=%s' 'pyformat' Python extended format codes, e.g. '...WHERE name=%(name)s'