如果您使用的是mysqldb，那么可以使用内置的escape_string函数。像这样

sql = "SELECT spam FROM eggs WHERE lumberjack = '" + MySQLdb.escape_string(str(lumberjack)) + "';"
cursor.execute(sql)

我总是更喜欢使用数据库连接器的转义功能——它按预期工作，手动编写转义功能本身存在安全风险

为了避免注入，使用execute和%s代替每个变量，然后通过列表或元组传递值作为execute的第二个参数。下面是一个example from the documentation：

c=db.cursor()
max_price=5
c.execute("""SELECT spam, eggs, sausage FROM breakfast
          WHERE price < %s""", (max_price,))

请注意，这是使用逗号，而不是%（这将是直接字符串替换，而不是转义）不要这样做：

c.execute("""SELECT spam, eggs, sausage FROM breakfast
          WHERE price < %s""" % (max_price,))

此外，如果驱动程序提供的参数是字符串，则不能在位置保持符（'%s'）周围使用单引号

作为Bruno答案的扩展，您的MySQL客户端库可能支持指定命名参数的几种不同格式中的任何一种。在PEP 249 (DB-API)中，您可以编写如下查询：

“qmark”

>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = ?", (lumberjack,))

“数字”

>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = :1", (lumberjack,))

“命名”

>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = :jack", {'jack': lumberjack})

“格式”

>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = %s", (lumberjack,))

“pyformat”

>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = %(jack)s", {'jack': lumberjack})

通过查看paramstyle模块级变量，您可以看到客户端库支持哪些：

>>> clientlibrary.paramstyle
'pyformat'

对于处理可能不安全的数据，上述任何选项都应该是正确的。正如布鲁诺指出的，请不要试图自己插入参数。通常使用的客户端库在正确处理数据方面比我们凡人都要好得多