Zo voeg je parameters toe aan een statement.
sql = "INSERT INTO my_table VALUES (%s, %s, %s);"
cursor.execute(sql, [string1, string2, string3])
Zie MySQLCursor.execute()
.
In dit voorbeeld hoef je de waarden niet expliciet te citeren omdat je ze niet in je SQL plakt. Dit is ook veiliger, want als de tekenreeks een eindaanhalingsteken bevat en een of andere kwaadaardige SQL, wordt deze niet uitgevoerd.
U kunt de tabelnaam niet als parameter toevoegen, dus als dat in een variabele was, zou moet je dat in je SQL plakken:
sql = "INSERT INTO {} VALUES (%s, %s, %s);".format(table_name)