Skicka bara frågeparametrar som ett andra argument för att execute , som:
>>> cur.execute(
... """INSERT INTO some_table (an_int, a_date, a_string)
... VALUES (%s, %s, %s);""",
... (10, datetime.date(2005, 11, 18), "O'Reilly"))
Då kommer alla parametrar att escapes korrekt.
Detta beror på att psycopg2 följer Python Database API Specification v2.0
och stöder säkra parametriserade frågor.
Se även:
- Parameteriserade frågor med psycopg2 / Python DB-API och PostgreSQL
- psycopg2 motsvarighet till mysqldb.escape_string?