Какую подстановку Value лучше всего использовать в sqlite3 python?

Question

Пишу подстановки в виде:

cur.execute('INSERT INTO users (user_id) VALUES ("%s")' % user_id)

cur.execute('SELECT user_id FROM users WHERE user_id=("%s")' % user_id)

На что лучше всего заменить подстановку с ("%s") ? Часто делают замечания по этому поводу.

Answer 1

Оба варианта плохи. Для передачи параметров нужно использовать другую конструкцию

cur.execute('SELECT user_id FROM users WHERE user_id=?',(user_id,))

Это защитит вас, например, от SQL инъекции. Также, например, не нужно устанавливать '