最近开发后端的时候,发现接到的用户数据不再是个定长值,有可能用户输入一个也有可能输入多个,而前端传过来都是以list形式个的,由于传过来的值是需要直接到数据库作为条件去查的,所以遇到了不确定值得sql确定问题。
解决办法非常的多,可以一个个查,可以转换成元组,可以拼接字符串形式,这里记录的主要原因是,选择某种方法的时候考虑性能和安全,性能很简单了,能一次查询的尽量少连接数据库,所以pass掉一个个查,在git上大多数都说把list转换成元组,然后再直接in;同样有人提到此方法无法避免sql注入,所以最简单的就是自己构建字符串了;
import log
lg = log.Log()
a = ['1','2','3','4']
b=['10']
def select_sql(indata):
data = ''
for val in indata:
data += "'"+val+"',"
sql = "select * from t_os_film_info where film_code in (%s);"%data[:-1]
lg.info(sql)
return sql
select_sql(a)
select_sql(b)
直接上代码:效果:
代码很简单,记一笔的主要目的是为了提醒自己再使用函数的时候多考虑数据的安全性,因为公司最近才发生了一次sql注入事件;