翻译：python标准库手册之Sqlite3(一)

首先，想要链接和操做sqlite数据库，你须要建立一个数据库链接对象，以后的操做都是基于这个对象的。

import sqlite3
conn = sqlite3.connect('example.db') 
#若是想在内存中构建sqlite对象，也能够使用特殊名称:memory:
#conn = sqllite3.connect(':memory:')

一单创建链接完毕，你就能够建立一个指针对象Cursor，使用excute方法执行sql语句

#建立指针:
cu = conn.cursor()
#新建表 
cu.execute('''CREATE TABLE stocks
             (date text, trans text, symbol text, qty real, price real)''')
# 插入行 Insert a row of data
cu.execute("INSERT INTO stocks VALUES ('2006-01-05','BUY','RHAT',100,35.14)")
# 保存(提交(更改Save (commit) the changes
conn.commit()
# We can also close the connection if we are done with it.
# Just be sure any changes have been committed or they will be lost.
#关闭链接
conn.close()

 一般python里的sql操做会用到python 变量。可是直接使用字符串变量是不安全的，它会让你容易遭受sql注入攻击。（这里有一个关于注入攻击漫画http://xkcd.com/327/)

取而代之，你能够使用DB-API的参数。经过使用"?"占位符，以后传入元组形式的变量。举例说明：

#绝对不建议的操做！
symbol = 'RHAT'
cu.execute("SELECT * FROM stocks WHERE symbol = '%s'" % symbol)
#正确的操做方式应该是
t = ('RHAT',)#这样定义变量
cu.execute("SELECT * FROM stocks WHERE symbol = ?" % t) #注意到区别没有？
#批量操做数据的方法：
#1定义一个包含多个元组的列表
purchases = [('2006-03-28', 'BUY', 'IBM', 1000, 45.00),
             ('2006-04-05', 'BUY', 'MSFT', 1000, 72.00),
             ('2006-04-06', 'SELL', 'IBM', 500, 53.00),
            ]

#每一个字段一个问号
cu.executemany('INSERT INTO stocks VALUES (?,?,?,?,?)', purchases)

执行查询语句之后，查询结果能够经过cu.fetchone()获取一行，也能够用cu.fetchall()获取列表，也能够传入变量中

for row in c.execute('SELECT * FROM stocks ORDER BY price'):
    print(row)

('2006-01-05', 'BUY', 'RHAT', 100, 35.14)
('2006-03-28', 'BUY', 'IBM', 1000, 45.0)
('2006-04-06', 'SELL', 'IBM', 500, 53.0)
('2006-04-05', 'BUY', 'MSFT', 1000, 72.0)