어떻게 Python에서 SQL 문에서 변수를 사용합니까?

다음과 같은 Python 코드를 갖고 있습니다:

cursor.execute(INSERT INTO table VALUES var1, var2, var3,)

여기서 var1은 정수이고, var2와 var3은 문자열입니다.

변수 이름을 Python이 쿼리 텍스트의 일부로 포함하지 않고 어떻게 작성할 수 있을까요?

답변 1

cursor.execute(INSERT INTO table VALUES (%s, %s, %s), (var1, var2, var3))

주의해야 할 점은 파라미터가 튜플로 전달된다는 것입니다. (a, b, c)와 같이 전달하면 됩니다. 하나의 파라미터를 전달할 때는 튜플 끝에 콤마를 붙여야 합니다. (a,)와 같이요.

데이터베이스 API는 변수의 이스케이핑과 따옴표 처리를 적절하게 수행합니다. 문자열 포맷팅 연산자인 %를 사용하지 않도록 주의하세요. 왜냐하면

1. 이스케이핑이나 따옴표 처리를 수행하지 않습니다.


2. 비제어 문자열 포맷 공격인 SQL 인젝션과 같은 위험을 내포하고 있습니다. SQL 인젝션을 참고하세요.

답변 2

변수는 SQL 문장에서 매우 유용한 요소입니다. Python에서 SQL 문장에 변수를 사용하는 방법은 다음과 같습니다.
먼저, `sqlite3` 모듈을 사용하여 Python에서 SQLite 데이터베이스에 연결합니다. `sqlite3` 모듈은 Python의 표준 라이브러리이므로 별도로 설치할 필요가 없습니다. 데이터베이스에 연결한 다음 `cursor` 객체를 생성합니다. 이 객체는 SQL 문장을 실행하는 데 사용됩니다.
변수를 사용하려면, SQL 문장 안에서 변수의 위치를 표시해야 합니다. Python에서 변수를 SQL 문장에 전달하는 일반적인 방법은 물음표(?)를 이용하는 것입니다. 먼저 SQL 문장을 작성할 때 물음표를 변수로 사용할 위치에 넣습니다.
예를 들어, SELECT * FROM employees WHERE age > ?와 같은 SQL 문장에서 물음표는 변수로 대체될 위치입니다.
다음으로, SQL 문장을 실행할 때 변수를 실제 값으로 대체합니다. 이를 위해 `execute()` 메서드를 사용합니다. `execute()` 메서드는 첫 번째 매개변수로 SQL 문장을 받고, 두 번째 매개변수로 변수의 값이 담긴 튜플이나 리스트를 받습니다. 이때, 인덱스 순서대로 변수가 대체됩니다.
예를 들어, 변수 `age`의 값을 30으로 설정하려면 다음과 같이 코드를 작성합니다.
```python
import sqlite3
# 데이터베이스에 연결
conn = sqlite3.connect('database.db')
cursor = conn.cursor()
# SQL 문장 실행
age = 30
cursor.execute(SELECT * FROM employees WHERE age > ?, (age,))
# 결과 가져오기
results = cursor.fetchall()
# 결과 출력
for row in results:
print(row)
# 연결 종료
conn.close()
```
이렇게 하면 변수가 SQL 문장에 대체되어 실행될 것입니다. 변수를 사용하면 SQL 문장을 동적으로 생성하고 다양한 값을 적용할 수 있습니다. 이는 데이터베이스를 다루는데 유용한 기능이며, Python과 SQL을 함께 사용하여 효율적인 프로그램을 작성하는 데 도움이 됩니다.
변수를 사용하여 SQL 문장을 실행하는 방법에 대해 알아보았습니다. 이를 통해 Python에서 데이터베이스와 상호작용하는 프로그램을 작성할 수 있습니다.