我有3个变量:
var1="abc"
var2="def"
sqlPrefix = "select x,y in myTable where myVar in "
我想创建一个('abc','def')的字符串,所以我可以直接将它连接到sqlPrefx的末尾,所以我的最后一个字符串是select x,y in myTable where myVar in ('abc','def')
答案 0 :(得分:2)
一般来说,为了避免sql注入,你不应该像这样手动构造sql查询。
但是,仅供参考,以下是 不应该这样做的方式:
sqlPrefix = "select x,y in myTable where myVar in ('%s', '%s')" % (var1, var2)