W ten sposób dodajesz parametry do wyciągu.
sql = "INSERT INTO my_table VALUES (%s, %s, %s);"
cursor.execute(sql, [string1, string2, string3])
Zobacz MySQLCursor.execute()
.
W tym przykładzie nie musisz wyraźnie cytować wartości, ponieważ nie wklejasz ich do swojego kodu SQL. Jest to również bezpieczniejsze, ponieważ jeśli ciąg zawiera końcowy cytat i jakiś złośliwy kod SQL, nie zostanie on wykonany.
Nie możesz dodać nazwy tabeli jako parametru, więc gdyby była ona w zmiennej, możesz muszę wkleić to do swojego SQL:
sql = "INSERT INTO {} VALUES (%s, %s, %s);".format(table_name)
