短信变量替换首选字符串replace(),简单安全;多变量推荐f-string或format();不可信模板用string.Template;关键在前置校验而非替换方式。
短信内容里的变量不能直接发,必须先替换成真实值,否则收件人看到的是 {name} 这种占位符,不是“张三”。
用字符串替换最简单,但要注意顺序和转义
如果模板是 "您好,{name},您的验证码是{code}",用 Python 的 str.replace() 最快:
template = "您好,{name},您的验证码是{code}"
text = template.replace("{name}", "李四").replace("{code}", "123456")
但注意两点:
- 替换顺序无关,但若变量名嵌套(比如
{name}和{name_full}),先换长的,否则短的会把长的截断 -
{和}在正则或某些模板引擎里有特殊含义,纯字符串替换反而最安全,不依赖额外库 - 如果变量值含
{或}(比如用户昵称是"{管理员}"),得提前转义或换方案
f-string 或 format() 更适合多变量、可读性要求高的场景
Python 3.6+ 推荐用 f-string,写法干净,也避免手误拼错键名:
name = "王五"; code = "654321"
text = f"您好,{name},您的验证码是{code}"
如果变量来自字典,str.format() 更灵活:
data = {"name": "赵六", "code": "999999"}
template = "您好,{name},您的验证码是{code}"
text = template.format(**data)
注意:
-
format()遇到字典缺 key 会抛KeyError,生产环境建议加try/except或用string.Template.safe_substitute() - f-string 不支持运行时动态模板(比如模板存在数据库里),因为它是编译期解析的
用 string.Template 实现安全、可控的变量替换
当模板来源不可信(比如运营后台录入),或需要防止执行任意代码时,string.Template 是最稳妥的选择:
from string import Template
t = Template("您好,$name,您的验证码是$code")
text = t.substitute(name="钱七", code="777777")
它只认 $xxx 或 ${xxx} 形式,不解析表达式,也不会因变量名错误崩溃:
-
substitute()缺变量会报错;safe_substitute()则保留原占位符(如$missing不变) - 变量名不能含点号或括号(
$user.name不合法),适合简单键值映射 - 不支持条件、循环等逻辑,纯变量填充,正适合短信这种结构固定、无逻辑的场景
真正容易出问题的不是怎么替,而是变量值没做清洗——比如手机号带空格、验证码含字母却要求纯数字、姓名里有控制字符导致短信网关拒收。替换只是最后一步,前置校验和编码处理往往更关键。
