psycopg2
følger reglerne for DB-API 2.0 (fastsat i PEP-249). Det betyder, at du kan kalde execute
metode fra din cursor
objekt og brug pyformat
bindende stil, og det vil gøre det undslippe for dig. For eksempel skal følgende bør være sikker (og arbejde):
cursor.execute("SELECT * FROM student WHERE last_name = %(lname)s",
{"lname": "Robert'); DROP TABLE students;--"})