在 SQL 语句中,两个冒号通常被用来表示参数标记。参数标记是一种占位符,它允许我们在运行时传递值给 SQL 语句。
参数标记的用途
参数标记有几个好处:
防止 SQL 注入攻击:通过使用参数标记,我们可以避免将用户输入直接嵌入到 SQL 语句中,从而防止 SQL 注入攻击。
提高可读性:使用参数标记可以使 SQL 语句更易于阅读和理解,特别是当语句包含复杂条件或连接时。
提高可重用性:使用参数标记,我们可以将 SQL 语句重用于不同的数据集,只需更改传递给参数标记的值即可。
使用参数标记
要使用参数标记,只需在 SQL 语句中用两个冒号 (:) 表示占位符。然后,在运行语句时,我们可以使用以下 传递值:
命名参数:使用命名参数时,我们为每个参数标记指定一个名称,并在运行语句时提供相应的值。
位置参数:使用位置参数时,我们按顺序向参数标记传递值。第一个值对应于第一个参数标记,依此类推。
例子
下面是一个使用命名参数的示例:
SELECT * FROM users WHERE name = :name;
在运行语句时,我们可以使用以下代码传递值:
import psycopg2
connection = psycopg2.connect(host="host", database="db", user="user", password="password")
cursor = connection.cursor()
cursor.execute("SELECT * FROM users WHERE name = :name", {"name": "John Doe"})
下面是一个使用位置参数的示例:
SELECT * FROM users WHERE name = ? AND age = ?;
在运行语句时,我们可以使用以下代码传递值:
import psycopg2
connection = psycopg2.connect(host="host", database="db", user="user", password="password")
cursor = connection.cursor()
cursor.execute("SELECT * FROM users WHERE name = ? AND age = ?", ("John Doe", 30))
