在使用PyMySQL进行Python与MySQL数据库交互时，安全格式化SQL语句以避免语法错误至关重要。这不仅关乎程序的稳定性，更影响到数据的完整性和安全性。

直接拼接SQL语句是一种常见但危险的做法。例如，当我们尝试根据用户输入查询数据时，如果直接拼接：

import pymysql

user_input = "test' OR 1=1 --"
conn = pymysql.connect(host='localhost', user='root', password='password', database='test')
cursor = conn.cursor()
sql = "SELECT * FROM users WHERE username = '" + user_input + "'"
cursor.execute(sql)

这种方式极易遭受SQL注入攻击，因为恶意用户输入可能会改变SQL语句的逻辑结构。如上述例子中，恶意输入会使SQL语句变成无条件查询，导致数据泄露。

为了安全格式化SQL语句，PyMySQL提供了参数化查询的方法。通过使用占位符%s，将数据与SQL语句分开传递。示例如下：

import pymysql

user_input = "test' OR 1=1 --"
conn = pymysql.connect(host='localhost', user='root', password='password', database='test')
cursor = conn.cursor()
sql = "SELECT * FROM users WHERE username = %s"
cursor.execute(sql, (user_input,))

在这种方式下，PyMySQL会自动对输入数据进行转义和安全处理，防止恶意输入干扰SQL语句的正常逻辑。

对于插入操作，同样可以使用参数化查询。比如：

data = ('new_user', 'password123')
sql = "INSERT INTO users (username, password) VALUES (%s, %s)"
cursor.execute(sql, data)
conn.commit()

在处理多个值的插入时，也很简单：

data_list = [('user1', 'pass1'), ('user2', 'pass2')]
sql = "INSERT INTO users (username, password) VALUES (%s, %s)"
cursor.executemany(sql, data_list)
conn.commit()

在PyMySQL中利用参数化查询来安全格式化SQL语句，能有效避免语法错误和SQL注入风险。无论是简单查询还是复杂的插入、更新、删除操作，都应该始终坚持这种安全的做法，确保数据库操作的可靠性和安全性，为应用程序的稳定运行提供坚实保障 。