嘿，我来帮你搞定这个问题！咱们先从你遇到的语法错误说起，再聊聊SQL查询里正确用Python变量的门道。

你的代码里有个明显的Python语法问题：for循环下面的print(table_name)没有缩进！Python是靠缩进区分代码块的，没有缩进的话解释器根本不知道这是循环体的一部分，直接就会抛出SyntaxError。这是最紧急要修复的点。

这里要分两种情况，核心原则是绝对不能随便用字符串拼接/格式化来插入变量，不然很容易踩SQL注入的坑：

• 如果是普通的值（比如WHERE子句里的条件）：一定要用数据库驱动提供的参数化查询，也就是cur.execute(sql语句, 参数元组/列表)的方式，让驱动帮你处理转义。
• 如果是标识符（表名、列名、数据库名这类）：参数化查询不支持替换这些（因为数据库的占位符只针对值），这时候得用数据库专属的标识符转义方法，或者在确保安全的前提下（比如表名是你自己定义的，不是用户输入）用字符串格式化，但必须转义特殊字符。

假设你用的是mysql.connector驱动，修复后的代码如下：

# 先确保你已经建立了连接和游标
# con = mysql.connector.connect(host='xxx', user='xxx', password='xxx')
# cur = con.cursor()

cur.execute("USE Test")  # 选择目标数据库
cur.execute("SHOW TABLES")

# 修复缩进：循环体必须缩进
for (table_name,) in cur:
    print(table_name)
    # 用MySQL内置的方法转义表名，处理特殊字符避免语法错误
    escaped_table = cur._connection.converter.escape(table_name)
    # 把转义后的表名插入SQL语句
    trunc_sql = f"TRUNCATE TABLE {escaped_table}"
    cur.execute(trunc_sql)

# 提交事务
con.commit()

# 别忘了关闭游标和连接
cur.close()
con.close()

1. 循环内执行TRUNCATE：你的原代码是在循环外执行截断操作，这样只会处理最后一个表；如果要截断所有表，得把TRUNCATE的逻辑放到循环里面。
2. 表名转义的重要性：不能直接用cur.execute("TRUNCATE TABLE %s", (table_name,))，因为大多数数据库不允许用占位符替换表名，会直接抛出SQL语法错误。用驱动内置的转义方法能避免这个问题，还能防止SQL注入（如果表名来自外部输入的话）。
3. 其他数据库的处理方式：如果你用的是PostgreSQL，推荐用psycopg2.sql.Identifier来处理表名，比如：

   from psycopg2 import sql
   cur.execute(sql.SQL("TRUNCATE TABLE {}").format(sql.Identifier(table_name)))
   

这种方式更规范安全。

内容的提问来源于stack exchange，提问作者Kyu.ki