我知道如何将列表映射到字符串:
foostring = ",".join( map(str, list_of_ids) )
而且我知道我可以使用以下命令将该字符串放入IN子句中:
cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % (foostring))
我需要使用MySQLDB安全地完成同一件事(避免SQL注入)。在上面的示例中,由于foostring没有作为执行参数传递,因此它很容易受到攻击。我还必须在mysql库之外引用和转义。
(有一个相关的SO问题,但是那里列出的答案对MySQLDB不起作用或容易受到SQL注入的影响。)
Answers:
list_of_ids直接使用:
format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,
tuple(list_of_ids))
这样,您就不必引用自己的报价,并避免各种SQL注入。
请注意,数据(list_of_ids)作为参数直接进入mysql的驱动程序(不在查询文本中),因此没有注入。您可以在字符串中保留任何想要的字符,而无需删除或引用字符。
?不是,%s所以如果将第一行更改为,它将起作用format_strings = ','.join('?' * len(list_of_ids))。
% format_strings部分更改%s查询中的其他占位符,仅更改占位IN (%s)符-实现此目的的方法是将所有%字符加倍(除了要替换的字符):query = ("select distinct cln from vcf_commits where branch like %%s and repository like %%s and filename in (%s) and author not like %%s" % format_strings,); cursor.execute(query, (branch, repository) + tuple(fname_list) + (invalid_author,))
尽管这个问题已经很久了,但最好还是留下一个答案,以防其他人在寻找我想要的东西
当我们有很多参数或想要使用命名参数时,可接受的答案会变得混乱
经过一番试验
ids = [5, 3, ...] # list of ids
cursor.execute('''
SELECT
...
WHERE
id IN %(ids)s
AND created_at > %(start_dt)s
''', {
'ids': tuple(ids), 'start_dt': '2019-10-31 00:00:00'
})
经过测试python2.7,pymysql==0.7.11
如果使用Django 2.0 or 2.1和Python 3.6,这是正确的方法:
from django.db import connection
RESULT_COLS = ['col1', 'col2', 'col3']
RESULT_COLS_STR = ', '.join(['a.'+'`'+i+'`' for i in RESULT_COLS])
QUERY_INDEX = RESULT_COLS[0]
TABLE_NAME = 'test'
search_value = ['ab', 'cd', 'ef'] # <-- a list
query = (
f'SELECT DISTINCT {RESULT_COLS_STR} FROM {TABLE_NAME} a '
f'WHERE a.`{RESULT_COLS[0]}` IN %s '
f'ORDER BY a.`{RESULT_COLS[0]}`;'
) # <- 'SELECT DISTINCT a.`col1`, a.`col2`, a.`col3` FROM test a WHERE a.`col1` IN %s ORDER BY a.`col1`;'
with connection.cursor() as cursor:
cursor.execute(query, params=[search_value]) # params is a list with a list as its element
参考:https : //stackoverflow.com/a/23891759/2803344 https://docs.djangoproject.com/en/2.1/topics/db/sql/#passing-parameters-into-raw
虽然这个问题已经很老了。我正在分享我的解决方案,如果它可以帮助某人。
list_to_check = ['A', 'B']
cursor.execute("DELETE FROM foo.bar WHERE baz IN ({})".format(str(list_to_check)[1:-1])
经过测试 Python=3.6
list_to_check内容并未经过SQL转义。这就是将值作为参数传递给execute更合适的原因。请谨慎使用此解决方案(即,不会从应用程序外部将输入ID作为参数接收),因为有人可能会使用此解决方案攻击您的系统并访问您的数据库。
list_of_ids = [ 1, 2, 3]
query = "select * from table where x in %s" % str(tuple(list_of_ids))
print query
如果您不希望使用必须传递参数以完成查询字符串的方法,并且希望调用just的方法,则这在某些用例中可能会起作用cursror.execute(query)。
另一种方法可能是:
"select * from table where x in (%s)" % ', '.join(str(id) for id in list_of_ids)
很简单:只需使用以下格式
rules_id = [“ 9”,“ 10”]
sql1 =“ SELECT * FROM Attenance_rules_staff WHERE id in(” +“,” .join(map(str,rules_id))+“)”
“,”。join(map(str,rules_id))
rules_id包含"); DROP TABLES Bobby --?