而不是这个：

cur.execute( "SELECT * FROM records WHERE email LIKE '%s'", search )

试试这个：

cur.execute( "SELECT * FROM records WHERE email LIKE %s", [search] )

参见MySQLdb文档。理由是execute的第二个参数表示要转换的对象的列表，因为在参数化查询中可以有任意数量的对象。在本例中，您只有一个对象，但它仍然需要是可迭代的（元组而不是列表也很好）。

您可以尝试以下代码：

cur.execute( "SELECT * FROM records WHERE email LIKE %s", (search,) )

您可以看到the documentation

“%”关键字非常危险，因为它是“SQL注入攻击”的主要原因。
所以你只是用这个代码。

cursor.execute("select * from table where example=%s", (example,))

或

t = (example,)
cursor.execute("select * from table where example=%s", t)

如果您想尝试插入到表中，请尝试以下操作。

name = 'ksg'
age = 19
sex = 'male'
t  = (name, age, sex)
cursor.execute("insert into table values(%s,%d,%s)", t)

cur.execute( "SELECT * FROM records WHERE email LIKE %s", (search,) )

我不知道为什么，但这对我很有效。而不是使用'%s'。

@kevinsa5的公认答案是正确的，但你可能会想“我发誓这段代码 * 曾经 * 工作，现在它不工作了，”你是对的。
MySQLdb库在1.2.3和1.2.5之间有一个API更改。1.2.3版本支持

cursor.execute("SELECT * FROM foo WHERE bar = %s", 'baz')

但是1.2.5版本需要

cursor.execute("SELECT * FROM foo WHERE bar = %s", ['baz'])

我在更新日志中找不到更改，可能之前的行为被认为是一个错误。
Ubuntu 14.04版本库有python-mysqldb 1.2.3，但Ubuntu 16.04及更高版本有python-mysqldb 1.3.7+。
如果您正在处理需要旧行为的遗留代码库，但您的平台是较新的Ubuntu，请从PyPI安装MySQLdb：

$ pip install MySQL-python==1.2.3

我不明白前两个答案。我想它们一定是版本相关的。我不能在MySQLdb 1.2.3上重现它们，它是Ubuntu 14.04LTS附带的。让我们试试它们。首先，我们验证MySQL不接受双撇号：

mysql> select * from methods limit 1;
+----------+--------------------+------------+
| MethodID | MethodDescription  | MethodLink |
+----------+--------------------+------------+
|       32 | Autonomous Sensing | NULL       |
+----------+--------------------+------------+
1 row in set (0.01 sec)

mysql> select * from methods where MethodID = ''32'';
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '9999'' ' at line 1

没有。让我们试试Mandatory发布的使用/usr/lib/python2.7/dist-packages/MySQLdb/cursors.py内部的查询构造函数的示例，其中我打开“con”作为到数据库的连接。

>>> search = "test"
>>> "SELECT * FROM records WHERE email LIKE '%s'" % con.literal(search)
"SELECT * FROM records WHERE email LIKE ''test''"
>>>

不，双撇号会导致它失败。让我们试试Mike Graham的第一条评论，他建议去掉引用%s的撇号：

>>> "SELECT * FROM records WHERE email LIKE %s" % con.literal(search)
"SELECT * FROM records WHERE email LIKE 'test'"
>>>

是的，这是可行的，但是Mike的第二条注解和文档说要执行的参数（由con.literal处理）必须是一个元组(search,)或一个列表[search]。
最好的答案是ksg97031。

根据PEP8，我更喜欢以这种方式执行SQL：

cur = con.cursor()
# There is no need to add single-quota to the surrounding of `%s`,
# because the MySQLdb precompile the sql according to the scheme type
# of each argument in the arguments list.
sql = "SELECT * FROM records WHERE email LIKE %s;"
args = [search, ]
cur.execute(sql, args)

通过这种方式，您将认识到execute方法的第二个参数args必须是参数列表。
希望这个能帮到你。

我在执行SELECT * FROM table;时遇到此错误，我将错误追溯到cursor.py第195行。

if args is not None:
        if isinstance(args, dict):
            nargs = {}
            for key, item in args.items():
                if isinstance(key, unicode):
                    key = key.encode(db.encoding)
                nargs[key] = db.literal(item)
            args = nargs
        else:
            args = tuple(map(db.literal, args))
        try:
            query = query % args
        except TypeError as m:
            raise ProgrammingError(str(m))

考虑到我正在输入任何额外的参数，我摆脱了所有的“if args ...”分支。现在它可以工作了。