擅长:python、mysql、java
<p>如果您使用的是mysqldb,那么可以使用内置的escape_string函数。像这样</p>
<pre><code>sql = "SELECT spam FROM eggs WHERE lumberjack = '" + MySQLdb.escape_string(str(lumberjack)) + "';"
cursor.execute(sql)
</code></pre>
<p>我总是更喜欢使用数据库连接器的转义功能——它按预期工作,手动编写转义功能本身存在安全风险</p>
