Python의 MySQL IN 절에 있는 목록을 어떻게 안전하게 사용할 수 있습니까?

Python의 MySQL IN 절에서 안전하게 목록 사용

Python에서는 조인을 사용하여 목록을 문자열로 쉽게 변환할 수 있습니다. () 방법. 그러나 MySQL IN 절에서 해당 문자열을 사용할 때는 SQL 삽입 취약점을 피하는 것이 중요합니다.

기존 접근 방식에서는 문자열을 실행하기 전에 수동으로 인용하고 이스케이프 처리하므로 오류가 발생할 수 있습니다. 이 문제를 해결하려면 다음 기술을 사용하여 강력한 list_of_ids를 직접 활용할 수 있습니다.

1. 형식 문자열 생성: 목록의 값에 대한 자리 표시자가 있는 문자열을 생성합니다. 예를 들어 list_of_ids에 요소가 3개 있는 경우 ','.join(['%s'] * 3)과 같은 문자열을 생성하면 "?, ?, ?"가 됩니다.
2. 쿼리 실행: 커서 개체의 Execute() 메서드를 사용하여 쿼리를 실행합니다. 형식 문자열을 첫 번째 인수로 전달하고 list_of_ids를 두 번째 인수로 전달합니다. 이렇게 하면 값이 쿼리 문자열에 보간되지 않고 매개 변수로 전달됩니다.

format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings, tuple(list_of_ids))

이 접근 방식을 활용하면 SQL 삽입에 대한 걱정 없이 MySQL IN 절에서 목록을 안전하게 사용할 수 있습니다. . 데이터는 매개변수로 직접 전달되므로 수동으로 인용하거나 이스케이프할 필요가 없습니다.

위 내용은 Python의 MySQL IN 절에 있는 목록을 어떻게 안전하게 사용할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!