防止sql注入

ORM（对象关系映射）可以防止sql注入

也可以使用%s来传参给数据库。

%s意味着这个地方是参数不是sql语句

例如

id = "'' or 1=1"
cursor.execute("SELECT id, message FROM message where id=%s", (id))

这样写就查询不到东西

下面这种写法就会有漏洞

cursor.execute("SELECT id, message FROM message where id={0}".format(id))