mã hóa danh sách để sử dụng trong mệnh đề python MySQLDB IN

Tôi biết cách ánh xạ một danh sách thành một chuỗi:

foostring = ",".join( map(str, list_of_ids) )

Và tôi biết rằng tôi có thể sử dụng cách sau để đưa chuỗi đó vào mệnh đề IN:

cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % (foostring))

Những gì tôi cần là hoàn thành điều tương tự AN TOÀN (tránh chèn SQL) bằng MySQLDB. Trong ví dụ trên bởi vì foostring không được truyền như một đối số để thực thi, nó rất dễ bị tấn công. Tôi cũng phải trích dẫn và thoát ra bên ngoài thư viện mysql.

(Có một câu hỏi SO liên quan , nhưng các câu trả lời được liệt kê ở đó hoặc không hoạt động cho MySQLDB hoặc dễ bị chèn SQL.)

Sử dụng list_of_idstrực tiếp:

format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,
                tuple(list_of_ids))

Bằng cách đó, bạn tránh phải báo giá cho mình và tránh tất cả các loại tiêm sql.

Lưu ý rằng dữ liệu ( list_of_ids) sẽ trực tiếp đến trình điều khiển của mysql, dưới dạng một tham số (không có trong văn bản truy vấn) nên không có nội dung chèn. Bạn có thể để lại bất kỳ ký tự nào bạn muốn trong chuỗi, không cần xóa hoặc trích dẫn ký tự.

Mặc dù câu hỏi này khá cũ, nhưng tôi nghĩ tốt hơn nên để lại câu trả lời trong trường hợp có người khác đang tìm kiếm thứ tôi muốn

Câu trả lời được chấp nhận sẽ trở nên lộn xộn khi chúng ta có nhiều tham số hoặc nếu chúng ta muốn sử dụng các tham số đã đặt tên

Sau một số thử nghiệm

ids = [5, 3, ...]  # list of ids
cursor.execute('''
SELECT 
...
WHERE
  id IN %(ids)s
  AND created_at > %(start_dt)s
''', {
  'ids': tuple(ids), 'start_dt': '2019-10-31 00:00:00'
})

Đã thử nghiệm với python2.7,pymysql==0.7.11

Nếu bạn sử dụng Django 2.0 or 2.1và Python 3.6, đây là cách phù hợp:

from django.db import connection
RESULT_COLS = ['col1', 'col2', 'col3']
RESULT_COLS_STR = ', '.join(['a.'+'`'+i+'`' for i in RESULT_COLS])
QUERY_INDEX = RESULT_COLS[0]

TABLE_NAME = 'test'
search_value = ['ab', 'cd', 'ef']  # <-- a list
query = (
    f'SELECT DISTINCT {RESULT_COLS_STR} FROM {TABLE_NAME} a '
    f'WHERE a.`{RESULT_COLS[0]}` IN %s '
    f'ORDER BY a.`{RESULT_COLS[0]}`;'
)  # <- 'SELECT DISTINCT a.`col1`, a.`col2`, a.`col3` FROM test a WHERE a.`col1` IN %s ORDER BY a.`col1`;'
with connection.cursor() as cursor:
    cursor.execute(query, params=[search_value])  # params is a list with a list as its element

ref: https://stackoverflow.com/a/23891759/2803344 https://docs.djangoproject.com/en/2.1/topics/db/sql/#passing-parameters-into-raw

Mặc dù câu hỏi này khá cũ. Tôi đang chia sẻ giải pháp của mình nếu nó có thể giúp được ai đó.

list_to_check = ['A', 'B'] cursor.execute("DELETE FROM foo.bar WHERE baz IN ({})".format(str(list_to_check)[1:-1])

Đã kiểm tra với Python=3.6

Một giải pháp đơn giản khác sử dụng khả năng hiểu danh sách:

# creating a new list of strings and convert to tuple
sql_list = tuple([ key.encode("UTF-8") for key in list_of_ids ])

# replace "{}" with "('id1','id2',...'idlast')"
cursor.execute("DELETE FROM foo.bar WHERE baz IN {}".format(sql_list))

list_of_ids = [ 1, 2, 3]
query = "select * from table where x in %s" % str(tuple(list_of_ids))
print query

Điều này có thể hoạt động đối với một số trường hợp sử dụng nếu bạn không muốn quan tâm đến phương thức mà bạn phải truyền các đối số để hoàn thành chuỗi truy vấn và chỉ muốn gọi cursror.execute(query).

Một cách khác có thể là:

"select * from table where x in (%s)" % ', '.join(str(id) for id in list_of_ids)

Rất đơn giản: Chỉ cần sử dụng hình dưới đây

rule_id = ["9", "10"]

sql1 = "CHỌN * TỪ Tham dự_rules_staff WHERE id trong (" + "," .join (map (str, rules_id)) + ")"

"," .join (map (str, rules_id))