sql语句中参数化查询的写法
在sql语句中传递参数可以提高代码的可读性和安全性。以下示列一个带有参数的sql语句:
update post set content=(select group_concat(id)ids from article where pid = ?) where id < 720
其中,问号 (?) 表示一个参数占位符。在执行查询时,需要将参数值传递给它。例如,可以使用以下python代码来执行此查询:
import mysqldb
conn = mysqldb.connect(host="localhost", user="root", password="", db="test")
cursor = conn.cursor()
cursor.execute("update post set content=(select group_concat(id)ids from article where pid = ?) where id < 720", (18,))
conn.commit()
cursor.close()
conn.close()在上述示例中,参数值 18 被传递给了查询。为了使参数化查询正常工作,必须确保参数的顺序与占位符 (?) 的顺序相匹配。子查询中的参数也应使用占位符 (?) 并按照正确的顺序传递。因此,上述查询可以修改为:
UPDATE post a SET content=(SELECT group_concat(id)ids FROM article WHERE pid = a.id) WHERE a.id < 720
该子查询中的占位符 (?) 已被 a.id 替换,因为它引用了主表 (post 表) 的 id 列。
