擅长:python、mysql、java
<p>添加占位符“?”对于字符串中的变量。你知道吗</p>
<pre><code>x = 30
cursor.execute(f"UPDATE product SET product_qty = product_qty + ? WHERE product_name LIKE ?", (x, '%'+str(TOPUPPRODUCT_NAME.get())+'%',))
</code></pre>
<p>你不应该把x放在字符串中,比如用格式化字符串,因为如果x的内容来自不可信的源,那么你就有可能得到sql注入。所以最好总是依赖sqlite包本身的格式。你知道吗</p>