Как вставить переменную в sql запрос

Чтобы вставить переменную в SQL-запрос, вам нужно использовать специальный синтаксис в зависимости от типа базы данных.

Например, если вы используете MySQL, то для вставки переменной в запрос можно использовать символ ?, а затем передать значения переменных в запрос с помощью метода execute():

INSERT INTO mytable (column1, column2, column3)
VALUES (?, ?, ?);

Затем, при выполнении запроса, вы должны передать кортеж значений, содержащий значения для каждой переменной, например:

cursor.execute("INSERT INTO mytable (column1, column2, column3)
VALUES (?, ?, ?)", (value1, value2, value3))

В других базах данных, таких как PostgreSQL или Oracle, вы можете использовать именованные параметры вместо символа ?. Например:

INSERT INTO mytable (column1, column2, column3)
VALUES (:value1, :value2, :value3);

А затем, при выполнении запроса, вы можете передать словарь, содержащий значения для каждой переменной:

cursor.execute("INSERT INTO mytable (column1, column2, column3)
VALUES (:value1, :value2, :value3)", {'value1': 'foo', 'value2': 'bar', 'value3': 'baz'})

В обоих случаях используется привязка параметров, что позволяет защитить запрос от инъекций и упрощает вставку значений в запросы.