psycopg2 folgt den Regeln für DB-API 2.0 (festgelegt in PEP-249). Das heißt, Sie können execute aufrufen Methode von Ihrem cursor -Objekt und verwenden Sie das pyformat Bindungsstil, und es wird das Entkommen für Sie erledigen. Folgendes sollte beispielsweise sicher sein (und arbeiten):
cursor.execute("SELECT * FROM student WHERE last_name = %(lname)s",
{"lname": "Robert'); DROP TABLE students;--"})
