在Python MySQL的IN子句中嵌套一個列表

Question

我知道如何將列表映射為字串：

foostring = ",".join( map(str, list_of_ids) )

我知道我可以使用以下方法將該字串放入IN子句中：

cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % (foostring))

我需要以安全的方式（避免SQL注入）在MySQL資料庫中實現相同的功能。在上面的範例中，因為foostring未作為參數傳遞給execute，它是有漏洞的。我還必須在MySQL庫之外進行引用和轉義。

（有一個相關的SO問題，但那裡列出的答案要么不適用於MySQL資料庫，要么容易受到SQL注入攻擊。）

Answer 1

雖然這個問題很舊，但我想留下回复，以防其他人也在尋找我想要的東西

當我們有很多參數或想要使用命名參數時，接受的答案會變得混亂

經過一些嘗試

ids = [5, 3, ...]  # id列表
cursor.execute('''
SELECT 
...
WHERE
  id IN %(ids)s
  AND created_at > %(start_dt)s
''', {
  'ids': tuple(ids), 'start_dt': '2019-10-31 00:00:00'
})

在python2.7和pymysql==0.7.11下測試通過

Answer 2

直接使用list_of_ids：

format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,
                tuple(list_of_ids))

這樣可以避免自己引用，也避免了各種SQL注入問題。

請注意，資料（list_of_ids）直接傳遞給mysql的驅動程式作為參數（而不是在查詢文字中），因此沒有註入問題。您可以在字串中保留任何字符，無需刪除或引用字符。