擅长:python、mysql、java
<p>首先,<strong>永远不要使用字符串格式来创建查询</strong>否则您将面临SQL注入漏洞的风险,必须处理转义等问题</p>
<p>正确的方法是对每一行使用单个查询并将数据作为参数传递:</p>
<pre><code>sql = "INSERT INTO tbltemplate (template_name) VALUES (%s)"
for template in dir_template_list:
conn.query(sql, (template,))
</code></pre>
<p>为了提高性能,您可能需要在事务中或使用准备好的语句执行此操作。在</p>