pymysql语句中想要使用变量的方法:
1.%替代
cursor.excute(
"insert into table1 values(%s)"
%value)
2.,逗号传参
cursor.excute(
"insert into table1 values(%s)"
,value)
#注意占位符统统是%s字符串类型,不再区分字符串,数字或者其他类型。另外%s不能加引号
使用逗号,变量是作为execute的参数传入的,由pymysql的内置方法把变量解释成合适的内容。使用百分号%则是用Python编译器对%s执行相应的替代,这种方法是有漏洞的,有些时候(比如包含某些特殊字符的时候)不能正常解析,甚至会有注入漏洞。一般情况下都要把变量作为execute的参数传入。