翻译：python标准库手册之Sqlite3(一)

首先，想要连接和操作sqlite数据库，你需要创建一个数据库连接对象，之后的操作都是基于这个对象的。

import sqlite3
conn = sqlite3.connect('example.db') 
#如果想在内存中构建sqlite对象，也可以使用特殊名称:memory:
#conn = sqllite3.connect(':memory:')

一单建立连接完毕，你就可以创建一个指针对象Cursor，使用excute方法执行sql语句

#创建指针:
cu = conn.cursor()
#新建表 
cu.execute('''CREATE TABLE stocks
             (date text, trans text, symbol text, qty real, price real)''')
# 插入行 Insert a row of data
cu.execute("INSERT INTO stocks VALUES ('2006-01-05','BUY','RHAT',100,35.14)")
# 保存(提交(更改Save (commit) the changes
conn.commit()
# We can also close the connection if we are done with it.
# Just be sure any changes have been committed or they will be lost.
#关闭连接
conn.close()

 通常python里的sql操作会用到python 变量。但是直接使用字符串变量是不安全的，它会让你容易遭受sql注入攻击。（这里有一个关于注入攻击漫画http://xkcd.com/327/)

取而代之，你可以使用DB-API的参数。通过使用"?"占位符，之后传入元组形式的变量。举例说明：

#绝对不建议的操作！
symbol = 'RHAT'
cu.execute("SELECT * FROM stocks WHERE symbol = '%s'" % symbol)
#正确的操作方式应该是
t = ('RHAT',)#这样定义变量
cu.execute("SELECT * FROM stocks WHERE symbol = ?" % t) #注意到区别没有？
#批量操作数据的方法：
#1定义一个包含多个元组的列表
purchases = [('2006-03-28', 'BUY', 'IBM', 1000, 45.00),
             ('2006-04-05', 'BUY', 'MSFT', 1000, 72.00),
             ('2006-04-06', 'SELL', 'IBM', 500, 53.00),
            ]

#每个字段一个问号
cu.executemany('INSERT INTO stocks VALUES (?,?,?,?,?)', purchases)

执行查询语句以后，查询结果可以通过cu.fetchone()获取一行，也可以用cu.fetchall()获取列表，也可以传入变量中

for row in c.execute('SELECT * FROM stocks ORDER BY price'):
    print(row)

('2006-01-05', 'BUY', 'RHAT', 100, 35.14)
('2006-03-28', 'BUY', 'IBM', 1000, 45.0)
('2006-04-06', 'SELL', 'IBM', 500, 53.0)
('2006-04-05', 'BUY', 'MSFT', 1000, 72.0)