psycopg2
dodržuje pravidla pro DB-API 2.0 (stanovená v PEP-249). To znamená, že můžete zavolat execute
metodou z vašeho cursor
objekt a použijte pyformat
vázací styl a útěk udělá za vás. Například následující by být v bezpečí (a pracovat):
cursor.execute("SELECT * FROM student WHERE last_name = %(lname)s",
{"lname": "Robert'); DROP TABLE students;--"})