擅长:python、mysql、java
<p>查询字符串中的%s占位符是为参数保留的。%“order by%s%s”中的s不是参数。您应该在两个步骤中生成查询字符串:</p>
<pre><code>query = """SELECT * FROM sometable order by %s %s limit %%s, %%s;"""
query = query % ('somecol', 'DESC')
conn = app_globals.pool.connection()
cur = conn.cursor()
cur.execute(query, (limit1, limit2) )
results = cur.fetchall()
</code></pre>
<p>不要忘记过滤第一个替换以防止SQL注入的可能性</p>