- sql语句的参数化,可以有效防止sql注入
- 全部使用%s占位
# 执行select语句,并返回受影响的行数:查询所有数据
count = cs1.execute('select * from goods where name=%s', params)
# 注意:
# 如果要是有多个参数,需要进行参数化
# 那么params = [数值1, 数值2....],此时sql语句中有多个%s即可,例:
UPDATE user set name=%s where id=%s", [new_name, edit_id,])