Python3 + DB：“從`table`中選擇*，其中`field` IN（...）和`field2` ='…'”

Question

使用Python3和

cursor.execute(sql, {key1: val1, key2: val2})

語法，我想執行一個安全的（SQL注入證明）查詢，例如：

SELECT * FROM `table`

WHERE 

a = %(fieldA)s AND b IN (%(fieldB)s)

基本上，我正在尋找這個問題的答案，但是要使用Python3語法並使用多個字段。

如果我使用@nosklo的答案：

format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,
tuple(list_of_ids))

1）如何使用字典語法實現這種雙重格式語法（ format_strings, tuple(list_of_ids)) ：

cursor.execute(sql, {'field': 'val'})

2）以及在有多個字段的情況下如何實現它：

cursor.execute(sql, {'x': 'myList', 'y':myOtherVar'})

？

Answer 1

好的，我想我剛剛發現了它：

myList = ["a", "b", "c"]
myStr = "d"

sql = """SELECT * FROM `table`

WHERE 

a = %(myStr)s AND b IN %(myList)s"""

cursor.execute(sql, {
    myList: myList,
    myStr: myStr
})

已經嘗試使用IN (%(myStr)s)而不是IN %(myStr)s 。

我仍然不明白為什么有些人聲稱在這種情況下我們必須使用元組，因為列表工作得很好。

Python3 + DB：“從`table`中選擇*，其中`field` IN（...）和`field2` ='…'”

問題描述

1 個解決方案

解決方案1
0 已采納 2019-02-11 13:47:38

Python3 + DB：“從`table`中選擇*，其中`field` IN（...）和`field2` =&#39;…&#39;”

問題描述

1 個解決方案

解決方案1 0 已采納 2019-02-11 13:47:38

Python3 + DB：“從`table`中選擇*，其中`field` IN（...）和`field2` ='…'”

解決方案1
0 已采納 2019-02-11 13:47:38