параметры использования, пропущенные через маршруты бутылок в моей инструкции SQL SELECT

Question

Каков правильный синтаксис использования параметров, передаваемых через маршруты буферов в инструкции SQL? (Тонны кода опущена для ясности здесь, все работает кроме этого)

@route('/sqldynamic/<foo>/<bar>') 
def sqlDyanmic(foo, bar): 

     db = MySQLdb.connect("127.0.0.1","username","password","database") 
     cursor = db.cursor() 
     cursor.execute("SELECT this, that WHERE this > foo AND that like '%bar%';") 
     data = cursor.fetchall() 
     return str(data) 

Answer 1

Поскольку вы используете MySQL:

cursor.execute("SELECT this, that WHERE this > %s AND that like %s;", (foo, bar)) 

(Это независимо от бутылки.)

(Кроме того, если вам небезразлична инъекция SQL, тогда вы должны добавить некоторую проверку.)