在Python MySQL的IN子句中嵌套一个列表

Question

我知道如何将列表映射为字符串：

foostring = ",".join( map(str, list_of_ids) )

我知道我可以使用以下方法将该字符串放入IN子句中：

cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % (foostring))

我需要以安全的方式（避免SQL注入）在MySQL数据库中实现相同的功能。在上面的示例中，因为foostring未作为参数传递给execute，它是有漏洞的。我还必须在MySQL库之外进行引用和转义。

（有一个相关的SO问题，但那里列出的答案要么不适用于MySQL数据库，要么容易受到SQL注入攻击。）

Answer 1

虽然这个问题很旧，但我想留下回复，以防其他人也在寻找我想要的东西

当我们有很多参数或者想要使用命名参数时，接受的答案会变得混乱

经过一些尝试

ids = [5, 3, ...]  # id列表
cursor.execute('''
SELECT 
...
WHERE
  id IN %(ids)s
  AND created_at > %(start_dt)s
''', {
  'ids': tuple(ids), 'start_dt': '2019-10-31 00:00:00'
})

在python2.7和pymysql==0.7.11下测试通过

Answer 2

直接使用list_of_ids：

format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,
                tuple(list_of_ids))

这样可以避免自己引用，也避免了各种SQL注入问题。

请注意，数据（list_of_ids）直接传递给mysql的驱动程序作为参数（而不是在查询文本中），因此没有注入问题。您可以在字符串中保留任何字符，无需删除或引用字符。