Django:mysql带参数查询
我有一个像这样的MySQL查询Django:mysql带参数查询,mysql,django,string-formatting,Mysql,Django,String Formatting,我有一个像这样的MySQL查询 cursor.execute("GRANT USAGE ON %s.* TO %s@%s", [db, user, host]) Python生成一个类似 GRANT USAGE ON 'db'.* TO 'user'@'host'; 但MySQL中不允许使用“db”周围的撇号。有什么想法吗 解决这个问题的简单方法 grant = "GRANT USAGE ON %s.* TO '%s'@'%s'" % [db, user, host] cursor.exec
cursor.execute("GRANT USAGE ON %s.* TO %s@%s", [db, user, host])
Python生成一个类似
GRANT USAGE ON 'db'.* TO 'user'@'host';
但MySQL中不允许使用“db”周围的撇号。有什么想法吗 解决这个问题的简单方法
grant = "GRANT USAGE ON %s.* TO '%s'@'%s'" % [db, user, host]
cursor.execute(grant)
谢谢。使用这种方法进行mysql注入的参数安全吗?它不是防弹的——但这些参数通常不是来自最终用户生成的数据。