Implodieren einer Liste zur Verwendung in einer Python MySQLDB IN-Klausel

Ich weiß, wie man eine Liste einer Zeichenfolge zuordnet:

foostring = ",".join( map(str, list_of_ids) )

Und ich weiß, dass ich Folgendes verwenden kann, um diesen String in eine IN-Klausel zu bekommen:

cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % (foostring))

Was ich brauche, ist das gleiche mit SASELD (Vermeidung von SQL-Injection) mit MySQLDB zu erreichen. Im obigen Beispiel ist Foostring anfällig, da es nicht als Argument für die Ausführung übergeben wird. Ich muss auch außerhalb der MySQL-Bibliothek zitieren und fliehen.

(Es gibt eine verwandte SO-Frage , aber die dort aufgeführten Antworten funktionieren entweder nicht für MySQLDB oder sind anfällig für SQL-Injection.)

Verwenden Sie die list_of_idsdirekt:

format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,
                tuple(list_of_ids))

Auf diese Weise vermeiden Sie, dass Sie sich selbst zitieren müssen, und vermeiden alle Arten von SQL-Injektionen.

Beachten Sie, dass die Daten ( list_of_ids) als Parameter (nicht im Abfragetext) direkt an den MySQL-Treiber gesendet werden, sodass keine Injektion erfolgt. Sie können beliebige Zeichen in der Zeichenfolge belassen, ohne Zeichen entfernen oder zitieren zu müssen.

Obwohl diese Frage ziemlich alt ist, dachte ich, es wäre besser, eine Antwort zu hinterlassen, falls jemand anderes nach dem sucht, was ich wollte

Akzeptierte Antworten werden unübersichtlich, wenn wir viele Parameter haben oder benannte Parameter verwenden möchten

Nach einigen Versuchen

ids = [5, 3, ...]  # list of ids
cursor.execute('''
SELECT 
...
WHERE
  id IN %(ids)s
  AND created_at > %(start_dt)s
''', {
  'ids': tuple(ids), 'start_dt': '2019-10-31 00:00:00'
})

Getestet mit python2.7,pymysql==0.7.11

Wenn Sie Django 2.0 or 2.1und verwenden Python 3.6, ist dies der richtige Weg:

from django.db import connection
RESULT_COLS = ['col1', 'col2', 'col3']
RESULT_COLS_STR = ', '.join(['a.'+'`'+i+'`' for i in RESULT_COLS])
QUERY_INDEX = RESULT_COLS[0]

TABLE_NAME = 'test'
search_value = ['ab', 'cd', 'ef']  # <-- a list
query = (
    f'SELECT DISTINCT {RESULT_COLS_STR} FROM {TABLE_NAME} a '
    f'WHERE a.`{RESULT_COLS[0]}` IN %s '
    f'ORDER BY a.`{RESULT_COLS[0]}`;'
)  # <- 'SELECT DISTINCT a.`col1`, a.`col2`, a.`col3` FROM test a WHERE a.`col1` IN %s ORDER BY a.`col1`;'
with connection.cursor() as cursor:
    cursor.execute(query, params=[search_value])  # params is a list with a list as its element

Ref: https://stackoverflow.com/a/23891759/2803344 https://docs.djangoproject.com/de/2.1/topics/db/sql/#passing-parameters-into-raw

Obwohl diese Frage ziemlich alt ist. Ich teile meine Lösung, wenn sie jemandem helfen kann.

list_to_check = ['A', 'B'] cursor.execute("DELETE FROM foo.bar WHERE baz IN ({})".format(str(list_to_check)[1:-1])

Getestet mit Python=3.6

Eine weitere einfache Lösung mit Listenverständnis:

# creating a new list of strings and convert to tuple
sql_list = tuple([ key.encode("UTF-8") for key in list_of_ids ])

# replace "{}" with "('id1','id2',...'idlast')"
cursor.execute("DELETE FROM foo.bar WHERE baz IN {}".format(sql_list))

list_of_ids = [ 1, 2, 3]
query = "select * from table where x in %s" % str(tuple(list_of_ids))
print query

Dies kann in einigen Anwendungsfällen funktionieren, wenn Sie sich nicht mit der Methode befassen möchten, bei der Sie Argumente übergeben müssen, um die Abfragezeichenfolge zu vervollständigen, und nur aufrufen möchten cursror.execute(query).

Ein anderer Weg könnte sein:

"select * from table where x in (%s)" % ', '.join(str(id) for id in list_of_ids)

Sehr einfach: Verwenden Sie einfach die folgende Formation

rules_id = ["9", "10"]

sql1 = "SELECT * FROM Anwesenheitsregeln_Staff WHERE ID in (" + "," .join (map (str, rules_id)) + ")"

"," .join (map (str, rules_id))