43
голосов
5ответов
141063 просмотров

Python MYSQL update statement

I'm trying to get this Python MYSQL update statement correct(With Variables): cursor.execute ("UPDATE tblTableName SET Year=%s" % Year ", Month=%s" % Month ", Day=%s" % Day ", Hour=%s" % Hour ", Minute=%s" Minute "WHERE Server=%s " % ServerID) Any ideas where I'm going wrong?

94
голосов
6ответов
89756 просмотров

Как создать параметризованный SQL-запрос? Почему я должен?

Я слышал, что «все» используют параметризованные SQL-запросы для защиты от атак с использованием SQL-инъекций, не проверяя каждый элемент пользовательского ввода. Как вы это делаете? Получаете ли вы это автоматически при использовании хранимых процедур? Насколько я понимаю, это не параметр...