Как вставить переменную python в sql

Чтобы передать переменную в SQL запрос в Python, вы можете использовать параметризованный запрос. Вот пример:

import mysql.connector

mydb = mysql.connector.connect(
  host="localhost",
  user="yourusername",
  password="yourpassword",
  database="mydatabase"
)

mycursor = mydb.cursor()

sql = "SELECT * FROM customers WHERE address = %s"
adr = ("Yellow Garden 2", )

mycursor.execute(sql, adr)

myresult = mycursor.fetchall()

for x in myresult:
  print(x)

В этом примере мы передаем переменную adr в SQL запрос. Мы используем %s в запросе как заполнитель для нашей переменной. Затем мы передаем нашу переменную в функцию execute() вместе с запросом.

Это позволяет избежать SQL инъекций и делает ваш код более безопасным.

Для более детального изучения вопроса "SQL инъекции" рекомендуем просмотреть урок Безопасность из курса Python: Веб-разработка (Flask)