python - パラメータを SQL クエリに渡す手段として locals() を使用しても安全ですか?

翻译自：https://stackoverflow.com/questions/44144810 2017-05-23T20:53:52.273

240 次

次のようなコードがあります。

var1 = 1
var2 = 2
cursor.execute("INSERT INTO mytable VALUES (:var1, :var2)", {'var1': var1, 'var2': var2})

単にこれを行うのではなく、辞書リテラルを使用してパラメーターを渡す必要がある理由はありますか?

var1 = 1
var2 = 2
cursor.execute("INSERT INTO mytable VALUES (:var1, :var2)", locals())

これはよりシンプルで保守しやすいように感じますが、ここである種のセキュリティ臭が発生しているという感覚を揺るがすことはできません.

2 に答える 2