psycopg2
jest zgodny z zasadami DB-API 2.0 (opisanymi w PEP-249). Oznacza to, że możesz wywołać execute
metoda z Twojego cursor
i użyj pyformat
styl wiązania i zrobi za ciebie ucieczkę. Na przykład:powinien bądź bezpieczny (i pracuj):
cursor.execute("SELECT * FROM student WHERE last_name = %(lname)s",
{"lname": "Robert'); DROP TABLE students;--"})