AsIs是不安全的，除非你真的知道自己在做什么。例如，您可以将它用于单元测试。

只要不预先格式化sql查询，传递参数并不是那么不安全。永远不要：

sql_query = 'SELECT * FROM {}'.format(user_input)
cur.execute(sql_query)

例如，因为user_input可以是';DROP DATABASE;'。

相反，请：

sql_query = 'SELECT * FROM %s'
cur.execute(sql_query, (user_input,))

pyscopg2将清除您的查询。此外，如果确实不信任用户的输入，可以使用自己的逻辑对代码中的参数进行预清理。

每^{}'s documentation：

Warning Never, never, NEVER use Python string concatenation (+) or string parameters interpolation (%) to pass variables to a SQL query string. Not even at gunpoint.

而且，我永远不会让我的用户告诉我应该查询哪个表。你的应用程序的逻辑（或路由）应该告诉你这一点。

关于AsIs()，根据^{}'s documentation：

Asis()... for objects whose string representation is already valid as SQL representation.

所以，不要在用户输入时使用它。

可以使用psycopg2.sql组合动态查询。与AsIs不同，它将保护您不受SQL注入的影响。