Django:mysql带参数查询_Mysql_Django_String Formatting

Django:mysql带参数查询

mysql django

Django:mysql带参数查询,mysql,django,string-formatting,Mysql,Django,String Formatting,我有一个像这样的MySQL查询 cursor.execute("GRANT USAGE ON %s.* TO %s@%s", [db, user, host]) Python生成一个类似 GRANT USAGE ON 'db'.* TO 'user'@'host'; 但MySQL中不允许使用“db”周围的撇号。有什么想法吗解决这个问题的简单方法 grant = "GRANT USAGE ON %s.* TO '%s'@'%s'" % [db, user, host] cursor.exec

我有一个像这样的MySQL查询

cursor.execute("GRANT USAGE ON %s.* TO %s@%s", [db, user, host])

Python生成一个类似

GRANT USAGE ON 'db'.* TO 'user'@'host';

但MySQL中不允许使用“db”周围的撇号。有什么想法吗

解决这个问题的简单方法

grant = "GRANT USAGE ON %s.* TO '%s'@'%s'" % [db, user, host]
cursor.execute(grant)

谢谢。使用这种方法进行mysql注入的参数安全吗？它不是防弹的——但这些参数通常不是来自最终用户生成的数据。