我努力做到以下幾點: query = "SELECT * FROM table ORDER BY %s %s"
parameters = ['avg', 'DESC']
但參數不正確映射。 SELECT * FROM table ORDER BY 'avg' 'DESC'
而不是 SELECT * FROM table ORDER BY avg DESC
你知道爲什麼嗎?
我有一些sql查詢通過python mysqldb工作到我的mysql數據庫,但是我想讓它們少一些sql注入漏洞,所以小的bobby表不會嘗試添加數據。 。 例如: ORIGINAL: (這工作,所以ListID等肯定是有效的) sql="SELECT NAME FROM ListsTable WHERE ID=%s"%(ListID)
c.execute(sql)
sql="SELECT