Takto přidáte parametry do příkazu.
sql = "INSERT INTO my_table VALUES (%s, %s, %s);"
cursor.execute(sql, [string1, string2, string3])
Viz MySQLCursor.execute()
.
V tomto příkladu nemusíte explicitně citovat hodnoty, protože je nevlepujete do svého SQL. Je to také bezpečnější, protože pokud řetězec obsahuje koncovou uvozovku a obsahuje nějaké škodlivé SQL, nebude proveden.
Název tabulky nemůžete přidat jako parametr, takže pokud by to bylo v proměnné, by musíte to přilepit do svého SQL:
sql = "INSERT INTO {} VALUES (%s, %s, %s);".format(table_name)