python - 使用python在mysql查询结果上添加字符串的问题

Question

我想在mysql中的查询结果中添加一个字符串。

我试过这段代码：

mensaje = input ("introduzca el sms que desea enviar: ")
cursorsql1 = conectar.cursor()
sql = "select msisdn, '(mensaje)'VALUES(%s) as mensaje from perfiles where tarifa not like '%Iot%' and transparent_properties not like '%Momo%' and state like '%active%' and msisdn like '56943404789' and created_at between subdate(current_date, 1) and current_date".format(mensaje, values)
cursorsql1.executemany(sql,mensaje)
columnas = cursorsql1.fetchall()
print(columnas)

错误是这样的

mysql.connector.errors.ProgrammingError：查询的参数必须是列表或元组。

我希望结果看起来像这样

| 56953404789 | some message  |

知道发生了什么导致我的错误吗？

提前感谢您的帮助

Answer 1

编辑： 提供注射安全方法：

---

使用 sql CONCAT 函数：

sql = "SELECT CONCAT(msisdn, ?) AS mensaje FROM perfiles"
cursorsql1.execute(sql, (mensaje,))

请注意，在 sqlite 上没有 CONCAT 函数，而是使用 || 操作员：

"SELECT msisdn || ? AS mensaje FROM perfiles"