擅长:python、mysql、java
<pre><code>insert_query = '''INSERT INTO testTable ({0}) VALUES ({1})'''.format(
(','.join(listOfVars)), ','.join('?'*len(listOfVars)))
cur.executemany(insert_query, tupleForm)
</code></pre>
<p>请不要对数据库查询使用普通字符串插值。<br/>
我们很幸运有<a href="http://www.python.org/dev/peps/pep-0249/" rel="nofollow">the DB-API</a>,它详细解释了如何做你需要的。在</p>
<p>编辑:<br/>
为什么这种方法比你的第二次尝试更好的几个简单原因:</p>
<ol>
<li>我们通过使用内置的SQL工具来避免字符串攻击</li>
<li><code>executemany</code>接受元组列表作为参数。在</li>
</ol>