我喜欢用 psycopg2 对于这样的示例，您试图将列名作为输入提供，但不希望将其转义

from psycopg2.extensions import AsIs

cmd = """
      UPDATE %(table)s SET %(column)s = %(val)s
      """

kwargs = {
    'table': AsIs('led_status'),
    'column': AsIs('test_led'),
    'val': False
}

cursor.execute(cmd, kwargs)

根据文档，最佳的方法是：

from psycopg2 import sql

cur.execute(
sql.SQL("insert into {} values (%s, %s)")
    .format(sql.Identifier('my_table')),
[10, 20])

来源

因为您的问题是关于sql注入的，所以我将比给出一行代码更进一步。您的问题是无法参数化表名。在处理sql注入时，必须区分动态sql和用户输入值之间的差异。防止sql注入的转义值应该由驱动程序的引号/转义机制来处理。您需要自己验证动态sql片段。动态sql片段包括variable where条件表达式、变量表名称或变量选择字段列表等内容。
您的示例的正确语法是：

cursor.execute("UPDATE {} SET {} = %s".format(table, field), value)

或

cursor.execute("UPDATE %s SET %s = %%s" % (table, field), value)

但是，如果表确实来自用户，则必须在使用此语句之前根据预定义的列表对其进行验证。不能信任数据库对表名或字段名做正确的处理。例如，下面的数据结构将提供一些要验证的内容。

valid_fields = {
   'table_1': ['field_1', 'field_2'],
   'table_2': ['field_a', 'field_b'],
   'table_3': ['field_x', 'field_y']
}

您也可以使用数据库提供的特殊目录表（如pg\u catalog）来动态获取这些表，但仍应检查特殊字段/表名（例如oid）。

您的sql在所有3个示例中都不正确。以下代码应起作用：

table = "led_status"
field = "test_led"
value = False

cursor.execute("UPDATE `%s` SET `%s` = %s", (table, field, value))

注意表名和列名周围的倒钩（`），但是，值应该表示为相应对象类型的列。应使用单引号和双引号表示字符串值。
在您的例子中，false很可能不应存储为字符串，而是在数据库模式中存储为布尔值或tinyint。

谢谢你的小费。读了这篇文章后，我终于发现了我的错误。显然不能参数化表名！
我就是这样修改代码的：

table = "led_status"
field = "test_led"
value = "FALSE"

sql_update = "UPDATE " + table + " SET " + column + " = %s"
cursor.execute(sql_update, (value,))