การสร้างรายการสำหรับใช้ใน python MySQLDB IN clause

Question 1

ฉันรู้วิธีแมปรายการกับสตริง:

foostring = ",".join( map(str, list_of_ids) )

และฉันรู้ว่าฉันสามารถใช้สิ่งต่อไปนี้เพื่อทำให้สตริงนั้นเป็นประโยค IN:

cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % (foostring))

สิ่งที่ฉันต้องการคือทำสิ่งเดียวกันให้สำเร็จ (หลีกเลี่ยงการฉีด SQL) โดยใช้ MySQLDB ในตัวอย่างข้างต้นเนื่องจากไม่ได้ส่ง foostring เป็นอาร์กิวเมนต์เพื่อดำเนินการจึงมีช่องโหว่ ฉันยังต้องพูดและหนีออกนอกไลบรารี mysql

(มีคำถาม SO ที่เกี่ยวข้องแต่คำตอบที่แสดงในนั้นไม่สามารถใช้ได้กับ MySQLDB หรือเสี่ยงต่อการแทรก SQL)

Question 2

ใช้list_of_idsโดยตรง:

format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,
                tuple(list_of_ids))

ด้วยวิธีนี้คุณจะหลีกเลี่ยงการอ้างตัวเองและหลีกเลี่ยงการฉีด sql ทุกชนิด

โปรดทราบว่า data ( list_of_ids) จะไปที่ไดรเวอร์ของ mysql โดยตรงเป็นพารามิเตอร์ (ไม่อยู่ในข้อความค้นหา) ดังนั้นจึงไม่มีการแทรก คุณสามารถทิ้งตัวอักษรที่คุณต้องการไว้ในสตริงโดยไม่จำเป็นต้องลบหรืออ้างตัวอักษร

Question 3

แม้ว่าคำถามนี้จะค่อนข้างเก่า แต่คิดว่าจะดีกว่าถ้าตอบกลับไปเผื่อว่ามีคนอื่นกำลังมองหาสิ่งที่ฉันต้องการ

คำตอบที่ยอมรับจะยุ่งเหยิงเมื่อเรามีพารามิเตอร์จำนวนมากหรือหากเราต้องการใช้พารามิเตอร์ที่มีชื่อ

หลังจากการทดลองบางอย่าง

ids = [5, 3, ...]  # list of ids
cursor.execute('''
SELECT 
...
WHERE
  id IN %(ids)s
  AND created_at > %(start_dt)s
''', {
  'ids': tuple(ids), 'start_dt': '2019-10-31 00:00:00'
})

ทดสอบกับpython2.7,pymysql==0.7.11

Question 4

หากคุณใช้Django 2.0 or 2.1และPython 3.6นี่คือวิธีที่ถูกต้อง:

from django.db import connection
RESULT_COLS = ['col1', 'col2', 'col3']
RESULT_COLS_STR = ', '.join(['a.'+'`'+i+'`' for i in RESULT_COLS])
QUERY_INDEX = RESULT_COLS[0]

TABLE_NAME = 'test'
search_value = ['ab', 'cd', 'ef']  # <-- a list
query = (
    f'SELECT DISTINCT {RESULT_COLS_STR} FROM {TABLE_NAME} a '
    f'WHERE a.`{RESULT_COLS[0]}` IN %s '
    f'ORDER BY a.`{RESULT_COLS[0]}`;'
)  # <- 'SELECT DISTINCT a.`col1`, a.`col2`, a.`col3` FROM test a WHERE a.`col1` IN %s ORDER BY a.`col1`;'
with connection.cursor() as cursor:
    cursor.execute(query, params=[search_value])  # params is a list with a list as its element

อ้างอิง: https://stackoverflow.com/a/23891759/2803344 https://docs.djangoproject.com/en/2.1/topics/db/sql/#passing-parameters-into-raw

Question 5

แม้ว่าคำถามนี้จะค่อนข้างเก่า ฉันกำลังแบ่งปันวิธีแก้ปัญหาของฉันหากสามารถช่วยใครสักคนได้

list_to_check = ['A', 'B'] cursor.execute("DELETE FROM foo.bar WHERE baz IN ({})".format(str(list_to_check)[1:-1])

ทดสอบด้วย Python=3.6

Question 6

อีกวิธีง่ายๆโดยใช้การทำความเข้าใจรายการ:

# creating a new list of strings and convert to tuple
sql_list = tuple([ key.encode("UTF-8") for key in list_of_ids ])

# replace "{}" with "('id1','id2',...'idlast')"
cursor.execute("DELETE FROM foo.bar WHERE baz IN {}".format(sql_list))

Question 7

list_of_ids = [ 1, 2, 3]
query = "select * from table where x in %s" % str(tuple(list_of_ids))
print query

สิ่งนี้สามารถใช้ได้กับ use-case บางกรณีหากคุณไม่ต้องการที่จะเกี่ยวข้องกับวิธีการที่คุณต้องส่งผ่านอาร์กิวเมนต์เพื่อให้สตริงการสืบค้นสมบูรณ์และต้องการเรียกใช้เพียง cursror.execute(query)ซึ่งอาจทำงานบางกรณีการใช้งานถ้าคุณไม่ต้องการจะเกี่ยวข้องกับวิธีการที่คุณต้องผ่านการขัดแย้งที่จะเสร็จสมบูรณ์สตริงการสืบค้นและต้องการที่จะเรียกเพียง

อีกวิธีหนึ่งอาจเป็น:

"select * from table where x in (%s)" % ', '.join(str(id) for id in list_of_ids)

Question 8

ง่ายมาก: เพียงใช้รูปแบบด้านล่าง

Rules_id = ["9", "10"]

sql1 = "เลือก * จากการเข้าร่วม _rules_staff รหัส WHERE ใน (" + "," .join (แผนที่ (str, rules_id)) + ")"

"," .join (แผนที่ (str, rules_id))