http://www.amk.ca/python/writing/DB-API.html
Будьте осторожны, когда вы просто добавляете значения переменных в свои утверждения: Представьте себе пользователь называет себя ';DROP TABLE Users;'
- Вот почему вам нужно использовать sql escaping, который Python предоставляет вам, когда вы используете cursor.execute в приличном режиме. Пример в URL-адресе:
cursor.execute("insert into Attendees values (?, ?, ?)", (name,
seminar, paid) )