Verbessern Sie die SQL INSERT-Abfrage, um SQL-Injektionen zu vermeiden

Lassen Sie Ihre Abfrage Parameter verwenden. Viel geringere Wahrscheinlichkeit einer Injektion:

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

Gutschrift (und weitere Informationen) hier:Wie verwende ich Variablen in einer SQL-Anweisung in Python?

Außerdem hat Dan Bracuk Recht - stellen Sie sicher, dass Sie Ihre Parameter validieren, bevor Sie die SQL ausführen, falls Sie dies noch nicht getan haben

Kann ich MySQL LOAD XML LOCAL INFILE verwenden, wenn meine Zeilen keinen „Namen“ haben?

Optimieren von MySQL für eine schnelle Spalten-/Indexerstellung während der Entwicklung

Remote-Zugriff auf MySQL-Server über SSH-Tunnel
Gewähren Sie in SQL Server Berechtigungen auf Tabellenebene
Installieren und Arbeiten mit MySQL 5 unter Windows 7
Automatisieren Sie die Bereitstellung Ihres MySQL- oder Postgres-Clusters aus dem Backup