python execute() 使用%s 拼接sql 避免sql注入攻击 好于.format