python 列表 mysql in_关于mysql:内嵌要在python MySQLDB IN子句中使用的列表

最新推荐文章于 2023-11-05 00:15:01 发布
最新推荐文章于 2023-11-05 00:15:01 发布
阅读量223 收藏
点赞数
文章标签: python 列表 mysql in
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42127748/article/details/114913484
版权

我知道如何将列表映射到字符串:

foostring =",".join( map(str, list_of_ids) )

而且我知道我可以使用以下命令将该字符串放入IN子句中:

cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % (foostring))

我需要使用MySQLDB安全地完成同一件事(避免SQL注入)。 在上面的示例中,由于foostring没有作为执行参数传递,因此它很容易受到攻击。 我还必须在mysql库之外引用和转义。

(有一个相关的SO问题,但是那里列出的答案对于MySQLDB无效或容易受到SQL注入的影响。)

您可能可以从php stackoverflow.com/questions/327274/中完成的类似问题中获得一些启发

SQL查询中python列表的可能重复项作为参数

@mluebke关于在查询中传递多个列表的任何想法吗?

直接使用list_of_ids:

format_strings = ','.join(['%s'] * len(list_of_ids))

cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,

tuple(list_of_ids))

这样,您就不必引用自己的报价,并避免各种SQL注入。

请注意,数据(list_of_ids)作为参数(不在查询文本中)直接进入mysql的驱动程序,因此没有注入。您可以在字符串中保留所需的任何字符,而无需删除或引用字符。

为什么在format_strings中引用%s?也可以通过.execute()方法来处理吗?

@heikogerlach:我没有引用%s ...第一行创建了一个字符串"%s,%s,%s" ...的长度与list_of_ids长度相同。

啊,你说的对。需要更加努力。我莫名其妙地把它混合了。不错的解决方案。

在sqlite中也可以使用吗?因为我刚尝试过,它似乎指出了语法错误。

在sqlite中,@ Sohaib的替换字符是?而不是%s,因此如果将第一行更改为format_strings = ,.join(? * len(list_of_ids)),它将起作用。

是的,我做了一点研究就知道了。虽然感谢您的帮助:)

根据这样的语句与不同数量的参数一起使用的频率,我希望对参数编号进行分组并执行多个以确保数据库仅看到有限数量的变体(对于sql缓存)。这也有助于避免过多的参数。

您能否为Python3中的相同解决方案提供示例语法?

@nosklo如果使用的查询对象具有例如fname_list = [item1, item2] query = ("select distinct cln from vcf_commits where branch like %s and repository like %s and filename in (%s) and author not like %s" % format_strings,) cursor = churn_db_connection.get_connection_cursor() cursor.execute(query, (branch, repository, tuple(fname_list), invalid_author,))的参数,如何执行相同操作,则会引发错误

@kdas在您的情况下,您不希望% format_strings部分更改查询中的其他%s占位符,仅更改IN (%s)占位符-实现此目的的方法是将所有%字符加倍,除了所需的字符替换:query = ("select distinct cln from vcf_commits where branch like %%s and repository like %%s and filename in (%s) and author not like %%s" % format_strings,); cursor.execute(query, (branch, repository) + tuple(fname_list) + (invalid_author,))

啊,这真是棒极了@nosklo。 format_strings之后的逗号(,)引起错误,但删除后,它可以正常工作。天才。掌声。 query = ("select distinct cln from vcf_commits where branch like %%s and repository like %%s and filename in (%s) and author not like %%s" % format_strings);

尽管这个问题已经很老了,但最好还是留下一个答案,以防其他人在寻找我想要的东西

当我们有很多参数或想要使用命名参数时,可接受的答案会变得混乱

经过一番试验

ids = [5, 3, ...]  # list of ids

cursor.execute('''

SELECT

...

WHERE

id IN %(ids)s

AND created_at > %(start_dt)s

''', {

'ids': tuple(ids), 'start_dt': '2019-10-31 00:00:00'

})

用python2.7,pymysql==0.7.11测试

如果使用Django 2.0 or 2.1和Python 3.6,这是正确的方法:

from django.db import connection

RESULT_COLS = ['col1', 'col2', 'col3']

RESULT_COLS_STR = ', '.join(['a.'+'`'+i+'`' for i in RESULT_COLS])

QUERY_INDEX = RESULT_COLS[0]

TABLE_NAME = 'test'

search_value = ['ab', 'cd', 'ef']  #

query = (

f'SELECT DISTINCT {RESULT_COLS_STR} FROM {TABLE_NAME} a '

f'WHERE a.`{RESULT_COLS[0]}` IN %s '

f'ORDER BY a.`{RESULT_COLS[0]}`;'

)  #

with connection.cursor() as cursor:

cursor.execute(query, params=[search_value])  # params is a list with a list as its element

参考:https://stackoverflow.com/a/23891759/2803344

https://docs.djangoproject.com/zh-CN/2.1/topics/db/sql/#passing-parameters-into-raw

无痛MySQLdb execute('...WHERE name1 = %s AND name2 IN (%s)', value1, values2)

def execute(sql, *values):

assert sql.count('%s') == len(values), (sql, values)

placeholders = []

new_values = []

for value in values:

if isinstance(value, (list, tuple)):

placeholders.append(', '.join(['%s'] * len(value)))

new_values.extend(value)

else:

placeholders.append('%s')

new_values.append(value)

sql = sql % tuple(placeholders)

values = tuple(new_values)

# ... cursor.execute(sql, values)

list_of_ids = [ 1, 2, 3]

query ="select * from table where x in %s" % str(tuple(list_of_ids))

print query

如果您不希望使用必须传递参数以完成查询字符串的方法并且只想调用cursror.execute(query)的方法,则这在某些用例中可能会起作用。

另一种方法可能是:

"select * from table where x in (%s)" % ', '.join(str(id) for id in list_of_ids)

很简单:只需使用以下格式

rules_id = [" 9"," 10"]

sql1 =" SELECT * FROM Attenance_rules_staff WHERE id in(" +"," .join(map(str,rules_id))+")"

","。join(map(str,rules_id))

它在哪里进行sql引用,这不是使用文字而不是绑定变量吗?

不需要,它只是工作正常。您可以测试因为元组结构直接用第一个大括号(" 9"," 10")转换为字符串。哪个调整sql格式。因此,您不需要其他格式即可使sql可调整

并且rules_id是否包含"); DROP TABLES Bobby --?

已经告诉"内嵌列表"而不是")" ...因此在查询之前,您需要验证

或使用:sql1 =" SELECT * FROM Attenance_rules_staff WHERE id in(" +"," .join(map(str,rules_id))+")"

如果您坚持使用数字,我猜它很好,但是仍然会产生带有文字的SQL,糟糕的SQL解析器...

李川雨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python 解决mysql where in 对列表(list,,array)问题
09-08
主要介绍了python 解决mysql where in 对列表(list,,array)问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
python mysqlin参数化说明
01-21
第一种:拼接字符串,可以解决问题,但是为了避免sql注入,不建议这样写 还是看看第二种:使用.format()函数,很多时候我都是使用这个函数来对sql参数化的 举个例子: select * from XX where id in (1,2,3) 参数化in里面的值: select * from XX where id in ({}).format(‘1,2,3’) 你可以打印下看看,和你原来的sql是一模一样的 补充知识:pythonmysql交互/读取本地配置文件/交互报错 如果自己写mysql连接要读取本地配置文件,需要注意: 在配置文件config.ini写: [sql]
python -mysql-excel数据导出-如何把python的list列表的数据放入sql语句的in后的语句的办法
wtt234的专栏
05-11 1147
1.重要内容分析: 如何把python的list列表的数据放入sql语句的in后的语句的办法: idlists=dics["data"]["cameraIdList"] #返回一个列表【“id1”,“id2”,。。。】 # print(idlists) ids=tuple(idlists) idstrs=str(ids) #变成sql的字符查询 #这里是关键信息,重点查询数据信息,把python列表转换成字符,然后在sql查询 #1. sqlselect = "select
python百万级以下数据量 任意二维list 插入mysql的动态语句方法
最新发布
C_ASP的专栏
11-05 153
把list数据插入到mysql是一个比较常用的操作。但是有事需要插入的字段和表格名称都是变动的,那么就会导致sql语句经常不同。list是python非常常用的数据类型,和mysql的数据表有很大的相似之处。可以在需要插入数据库的类型继承这个数据库操作类。这里我是用了{}和format方法根据参数动态的创建sql语句。为了提高效率,每500个插入语句提交一次事务。为了便于多次利用,我把数据操作分装到一个类。根据参数不同会调用不同的sql拼接方法。类初始时候就会自动创建数据库链接。
python连接MySQL数据库并读取数据库的数据表存入list
strivequeen的博客
01-23 5796
1 Python3安装pymysql第三方模块2 操作Mysql数据库3 封装成函数调用 1 Python3安装pymysql第三方模块 Python2MySQLdb模块。 Python3没有MySQLdb模块了,所以使用pymysql 2 操作Mysql数据库 创建连接,指定数据库的ip地址,账号、密码、端口号、要操作的数据库、字符集 创建游标 执行sql 获取结果 关闭游标 连接关闭 详细可参考:https://www.cnblogs.com/hwtfamily/p/8982836.ht.
python 列表 mysql in_python 解决mysql where in 对列表(list,,array)问题
weixin_30215717的博客
01-21 825
例如有这么一个查询语句:select * from server where ip in (....)同时一个存放ip 的列表 :["1.1.1.1","2.2.2.2","2.2.2.2"]我们希望在查询语句的in放入这个Ip列表,这里我们首先会想到的是用join来对这个列表处理成一个字符串,如下:>>> a=["1.1.1.1","2.2.2.2","2.2.2.2"]&g...
python mysql where in 对列表(list,,array)问题
热门推荐
云中不知人的专栏
01-12 2万+
例如有这么一个查询语句: select * from server where ip in (....) 同时一个存放ip 的列表 :['1.1.1.1','2.2.2.2','2.2.2.2'] 我们希望在查询语句的in放入这个Ip列表,这里我们首先会想到的是用join来对这个列表处理成一个字符串,如下: >>> a=['1.1.1.1','2.2.2.2','2.2.2.2'] >>
python mysql in 参数化_python mysqlin参数化说明
weixin_36248959的博客
02-07 338
第一种:拼接字符串,可以解决问题,但是为了避免sql注入,不建议这样写还是看看第二种:使用.format()函数,很多时候我都是使用这个函数来对sql参数化的举个例子:select * from XX where id in (1,2,3)参数化in里面的值:select * from XX where id in ({}).format("1,2,3")你可以打印下看看,和你原来的sql是一模一...
mysql_read.rar_Python MySQLdb_connect_python
09-23
python MySQLdb.connect 读取mysql数据库
python2.7.5 安装python-mysqldb出错问题my_config.h: No such file or directory.
10-24
python2.7.5安装mysqldb失败, my_config.h: No such file or directory. 解决办法:1)mysql版本太高,可降低版本 --此路一般不会考虑 2)注意下载的mysql-python的版本是否符和当前版本兼容 2)下载附件的文件,...
python使用MySQLdb访问mysql数据库的方法
09-10
主要介绍了python使用MySQLdb访问mysql数据库的方法,实例分析了Python使用MySQLdb模块操作mysql数据库的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
PythonMySQLdb和torndb模块对MySQL的断连问题处理
12-24
使用python 对wordpress tag 进行细化代码处理时,遇到了调用MySQLdb模块时的出错,由于错误提示和问题原因相差甚远,查看了N久代码也未发现代码有问题。后来问了下师傅,被告知MySQLdb里有一个断接的坑 ,需要...
python定义字符串数组_从字符串数组(或元组)在Python创建动态sql“ in list”子句的“最佳”方法是什么?...
weixin_39737757的博客
11-25 326
我正在从Python(使用MySQLDb)运行一个动态MySQL查询,该查询包括一个包含字符串值的“ in list”子句.执行此功能的函数将获取一个值数组.如果有帮助,我可以将该数组放入元组或其他任何类型的集合.插入此列表的“最佳”方法是什么?请记住,需要单引号和逗号等.这是一种难看但安全的手动方法:inList = ""for stringValue in someArray:if inLi...
python将list导入到mysql
之维的博客
05-04 6078
数据请看前一篇文章 使用pymysql库连接mysql数据库 import pymysql from excle.xls import MyList # 链表数据 list=[] file_name = "school.xls" lists = MyList.getList(file_name) # 连接数据库 conn = pymysql.connect( host='localhost', user='root', password='toor', database=
pymysql用list做insert操作两个“难缠”问题
honentan的博客
01-04 365
python mysql 220 not enough arguments for format string
python mysql 查询(in 、 like)
qq_40330291的博客
09-29 1650
python使用mysql进行多条件查询
MySQLdb/_mysql.c:46:10: fatal error: 'Python.h' file not found
06-09
如果您使用的是Windows系统,您需要从Python官网下载并安装Python,并确保在安装过程选择了“添加到PATH”选项。然后,您需要安装Microsoft Visual C++ Build Tools。 希望这些信息能够帮助您解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值