Ето как добавяте параметри към изявление.
sql = "INSERT INTO my_table VALUES (%s, %s, %s);"
cursor.execute(sql, [string1, string2, string3])
Вижте MySQLCursor.execute()
.
В този пример не е нужно изрично да цитирате стойностите, защото не ги залепвате във вашия SQL. Освен това, това е по-безопасно, защото ако низът съдържа крайна кавичка и има злонамерен SQL, той няма да бъде изпълнен.
Не можете да добавите името на таблицата като параметър, така че ако това е в променлива, ще трябва да го залепите във вашия SQL:
sql = "INSERT INTO {} VALUES (%s, %s, %s);".format(table_name)