sql = "select * from log_supplier where 供应商名称=%s ORDER by created_at desc VALUES (%s)" cursor.execute(sql,(supplier))

这段代码存在语法错误，应该修改为：

sql = "SELECT * FROM log_supplier WHERE 供应商名称=%s ORDER BY created_at DESC"
cursor.execute(sql, (supplier,))

修改后的代码中，SQL语句中的VALUES关键字被删除，因为在执行SELECT语句时不需要使用VALUES关键字。另外，为了避免SQL注入等安全问题，应将查询条件用参数化的方式传入execute()方法中。在这里，我们使用%s作为占位符，并将供应商名称通过元组的形式传入execute()方法中。注意，元组的最后一个逗号不能省略。

相关问题

sql = "select * from log_supplier where 供应商名称=%s ORDER by created_at desc" cursor.execute(sql,(supplier))

这段代码是一个使用参数化查询的SQL查询语句，是相对安全的。

在这段代码中，使用了%s作为占位符，并将变量`supplier`作为参数传递给execute()方法。这种方式可以避免SQL注入攻击，提高系统的安全性。

需要注意的是，如果`supplier`变量是由用户输入的，还需要进行一些输入验证和过滤，防止恶意用户传入非法参数，从而导致一些安全问题。例如，可以使用Python内置的re模块对输入进行正则表达式匹配，或者使用第三方库进行输入过滤和验证。

sql='select * from all_gzdata limit 10;' cursor.execute(sql)错在哪？

这段代码的错误可能会出现在以下几个方面：

1. 数据库连接：在执行SQL语句之前，需要先连接到数据库。如果没有正确连接到数据库，那么执行SQL语句就会失败。你可以通过使用`pymysql`等模块来连接到数据库。

2. SQL语句：你的SQL语句可能存在错误。请检查SQL语句的语法是否正确。在这个例子里，SQL语句是`select * from all_gzdata limit 10;`，它的语法看起来是正确的，但是如果`all_gzdata`表不存在或者表里没有数据，那么执行这个SQL语句就会失败。

3. 数据库游标：在执行SQL语句之前，需要先创建一个数据库游标。如果没有正确创建游标，那么执行SQL语句就会失败。你可以通过使用以下代码来创建游标：

   import pymysql

   # 连接到数据库
   conn = pymysql.connect(host='localhost', port=3306, user='root', password='password', db='database_name')

   # 创建游标
   cursor = conn.cursor()

在这个例子里，`cursor`变量是数据库游标。

如果你能够提供更多的信息，比如完整的错误信息或者完整的代码，那么我就能够更准确地帮助你找出问题所在。