我来帮你排查这个问题，你的代码里有几个明显的问题，咱们一步步解决：

问题分析 #

你当前的代码：

query = "SELECT * FROM following WHERE following.username == 'flask.session['user']' "

报错sqlite3.OperationalError: near "user": syntax error，主要原因有三个：

1. 引号嵌套冲突：外层用双引号包裹字符串，内部的'flask.session['user']'里，['user']的单引号会提前闭合外层的单引号，导致SQL解析器无法识别user的含义，直接抛出语法错误。
2. SQL运算符错误：SQL里的等于判断是=，而不是Python里的==，用==会导致SQL语法不合法。
3. 存在严重的SQL注入风险：直接把flask.session['user']拼接到SQL字符串里，如果用户输入的用户名包含特殊字符（比如单引号）或者恶意SQL片段，会篡改查询逻辑，导致数据泄露或破坏。

正确解决方案：使用参数化查询 #

这是处理数据库查询最安全、最规范的方式，SQLite支持用?作为占位符，将变量单独传入execute方法，避免引号冲突和SQL注入。

示例代码：

from flask import session
import sqlite3

# 先从session中获取当前登录用户
current_user = session.get('user')
# 处理用户未登录的情况（可选但推荐）
if not current_user:
    print("用户未登录，请先登录")
    # 这里可以根据你的业务逻辑返回错误或跳转登录页
    exit()

# 定义SQL查询，用?作为用户名的占位符
query = "SELECT * FROM following WHERE following.username = ?"

# 连接数据库并执行查询
conn = sqlite3.connect('你的数据库文件名.db')
cursor = conn.cursor()
# 注意第二个参数是元组，即使只有一个参数也要加逗号，避免被当成单个变量
cursor.execute(query, (current_user,))
# 获取查询结果
followed_users = cursor.fetchall()

# 后续处理结果（比如遍历输出）
for user in followed_users:
    print(user)

# 关闭数据库连接
conn.close()

为什么不推荐字符串拼接？ #

有些开发者可能会尝试用f-string或字符串格式化来解决引号问题，比如：

# 不推荐！存在SQL注入风险
query = f"SELECT * FROM following WHERE following.username = '{current_user}'"

但这种方式依然不安全：如果用户名为O'Neil，拼接后的SQL会变成SELECT * FROM following WHERE username = 'O'Neil'，同样会抛出语法错误；如果用户名是恶意的' OR 1=1 --，查询会返回所有数据，导致敏感信息泄露。

所以一定要坚持使用参数化查询，既解决语法问题，又保证数据库安全。

内容的提问来源于stack exchange，提问作者CuriousProgrammer70184