擅长:python、mysql、java
<p>正如ThiefMaster指出的,您永远不应该使用来自用户的输入来构建带有字符串格式的SQL查询。这是一个SQL注入漏洞,也是当今软件系统中的首要安全问题。在</p>
<p>您的数据库提供了一种安全的方法来分别提供查询字符串和数据,您应该使用它:</p>
<pre><code>dir_template_list = ['template1', 'template2', 'template3']
sql = "INSERT INTO tbltemplate (template_name) VALUES(?, ?, ?)"
conn.execute(sql, *dir_template_list)
</code></pre>
<p>注意:我不知道您的数据库连接被称为什么,但是<code>conn</code>是常见的。另外,不同的数据库对占位符使用不同的语法:<code>?</code>和{<cd3>}都是可能的。在</p>