sql参数化怎么实现防注入

构造execute参数列表，让模块自动去拼装查询字符串，可防止SQL注入现象发生，代码：

# 安全方式
find_name = input("请输入您要查询商品的名称：")
# 构造参数列表
params = [find_name]
# 执行select语句，并返回受到影响的行数；查询数据
count = cs1.execute('select * from goods where name=%s;' % params)