先贴完整代码，个人写的一般，请谅解。

　　@coroutine    def put(self):        # 修改区域信息        req_body = self.request.body        assert req_body, 'request body is None'        info = loads(req_body)        _id = info.get('_id')        name = info.get('name')        address = info.get('address')        assert _id, '_id argument not given'        assert name or address, 'argument lost'        _sql = "UPDATE area SET %s"        param = []        _param = []        if name:            param.append("name=%s")            _param.append(name)        if address:            param.append("address=%s")            _param.append(address)        _param.append(_id)        sql = _sql % (",".join(param)) + " WHERE _id=%s"        with StoreContext() as store:            ctx = yield store.begin()            try:                yield ctx.execute(sql, tuple(_param))                yield ctx.commit()            except:                app_log.error("update area failed, body={0}, details: {1}".format(info, traceback.format_exc()))                yield ctx.rollback()        self.write_rows()

通常在写代码时会有以下几个误入点。

误入点1：

由于需要修改的字段不确定，在初始化SQL时不要将WHERE条件加入，像下面这么会产生SQL注入

_sql = "UPDATE area SET %s WHERE _id=%s"param.append("name=%s")param.append("address=%s")_sql % (",".join(param), _id)# 如果_id传入的是_id="1 or 1=1",_sql则会变成'UPDATE area SET name=%s,address=%s WHERE _id=1 or 1=1'

误入点2：

在拼接字段时，直接将传入的值拼入字符串中，像下面这样会有问题

param.append("name=%s" % name)# 如果遇到中文时，字段的内容会变成下面这样"name=u'\\u534e\\u4e1c1',address=u'http://10.0.0.111'"# 这样就不说了，直接抛错

最好的做法是将要拼入的字段和对应的值放在两个不同的列表中，将SQL拼完整后，调用execute方法。

_sql = 'UPDATE area SET name=%s,address=%s WHERE _id=%s'_param = ("xxx", "xxx", "xxx")# execute方法会自己处理注入问题ctx.execute(sql, _param)

今天主要是遇到拼接时出现中文乱码问题，最好的处理方式是将所有的值放到execute方法里面，不要画蛇添足的自己去拼接，产生不必要的麻烦。