## 15. Параметризованные запросы

### 🔐 Параметризованные запросы

**Постановка проблемы:**  
Нельзя подставлять значения прямо в SQL-строку через f-строки — это небезопасно и может привести к SQL-инъекциям. Вместо этого нужно использовать параметризованные запросы.

**Краткая теория:**  
Параметры передаются отдельно от SQL-запроса. Это безопасно и удобно:

- Используется знак `?` как placeholder
- Значения передаются в виде кортежа или списка
- Также поддерживается `executemany()` для массовых вставок

**Пример синтаксиса:**
```python
cursor.execute("SELECT * FROM users WHERE name = ?", ("Alice",))
```

**Пример:**

In [None]:
# Параметризованные запросы в SQLite
import sqlite3

conn = sqlite3.connect(':memory:')
cursor = conn.cursor()

# Создаём таблицу
cursor.execute('''
CREATE TABLE users (
    id INTEGER PRIMARY KEY,
    name TEXT,
    age INTEGER
);
''')

# Вставка параметров
cursor.execute("INSERT INTO users (name, age) VALUES (?, ?)", ("Alice", 30))
cursor.executemany("INSERT INTO users (name, age) VALUES (?, ?)", [
    ("Bob", 25),
    ("Charlie", 35)
])
conn.commit()

# Поиск по имени с параметром
name_to_search = "Bob"
cursor.execute("SELECT * FROM users WHERE name = ?", (name_to_search,))
print("🔍 Пользователь по имени 'Bob':")
for row in cursor.fetchall():
    print(row)