插入mysql数据的注意事项

1.插入方式

特殊的字符可能会引起sql的注入，我们应该尽量使用mysql提供的接口去传参，而不是 自己去拼接sql语句。
示例如下：

import pymysql

conn = pymysql.connect(
    host='localhost',
    port=3306,
    db='tb',
    user='root',
    passwd='1111ssss',
    charset='utf8',
)
cur = conn.cursor()

product = ['//g-search1.alicdn.com/img/bao/uploaded/i4/i1/267817332/O1CN01XhXcZ32426TJQiU6k_!!267817332.png',
           '¥\n2488.00', '138人付款', '2019新款Apple/苹果\niPad\nmini 4 mini5 迷你5 7.9寸平板电脑国行', '格格乌托邦', '四川 成都']
# sql_insert = 'insert into info (url, price, deal_cnt, title, shop, location) VALUES ({0}, {1}, {2}, {3}, {4}, {5});'.format(product[0], product[1], product[2], product[3], product[4], product[5])  此种方法即为不好的插入方式，容易引起注入
sql_insert = 'insert into info (url, price, deal_cnt, title, shop, location) VALUES (%s, %s, %s, %s, %s, %s);'   
cur.execute(sql_insert, product)  # 最好采用此种方式
conn.commit()

cur.close()
conn.close()