擅长:python、mysql、java
<p><em>不要通过字符串格式设置SQL查询,使用驱动程序的能力准备SQL查询并将参数传递到查询中-这样可以避免SQL注入,并使传递不同类型参数的处理透明:</p>
<pre><code>query = """
INSERT INTO
db.{table}
SELECT DISTINCT
latitude, longitude, port
FROM
MessageType1
WHERE
latitude >= ? AND
latitude <= ? AND
longitude >= ? AND
longitude <= ?
""".format(table=tablename)
cur.execute(query, (bottomlat, toplat, bottomlong, toplong))
</code></pre>