क्लाज में एक python MySQLDB IN में उपयोग के लिए एक सूची को निहित करना

Question 1

मुझे पता है कि स्ट्रिंग में सूची कैसे मैप करें:

foostring = ",".join( map(str, list_of_ids) )

और मुझे पता है कि मैं उस स्ट्रिंग को एक इन क्लॉज में प्राप्त करने के लिए निम्नलिखित का उपयोग कर सकता हूं:

cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % (foostring))

MySQLDB का उपयोग करके SAFELY (SQL इंजेक्शन से बचना) एक ही चीज़ को पूरा करने के लिए मुझे जो चाहिए वह है। उपर्युक्त उदाहरण में क्योंकि फ़ॉस्ट्रिंग को निष्पादित करने के तर्क के रूप में पारित नहीं किया गया है, यह कमजोर है। मुझे भी mysql लाइब्रेरी के बाहर बोली और बचना होगा।

( संबंधित एसओ प्रश्न है , लेकिन वहां सूचीबद्ध उत्तर या तो MySQLDB के लिए काम नहीं करते हैं या SQL इंजेक्शन के लिए असुरक्षित हैं।)

Question 2

list_of_idsसीधे उपयोग करें :

format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,
                tuple(list_of_ids))

इस तरह आप अपने आप को उद्धृत करने से बचते हैं, और सभी प्रकार के एसक्यूएल इंजेक्शन से बचते हैं।

ध्यान दें कि डेटा ( list_of_ids) सीधे mysql के ड्राइवर पर जा रहा है, एक पैरामीटर के रूप में (क्वेरी टेक्स्ट में नहीं) ताकि कोई इंजेक्शन न हो। आप स्ट्रिंग में अपनी इच्छानुसार कोई भी चार्ट छोड़ सकते हैं, चार्ट को हटाने या उद्धरण करने की आवश्यकता नहीं है।

Question 3

हालांकि यह सवाल काफी पुराना है, लेकिन यह सोचा कि अगर मैं चाहता था तो किसी और की प्रतिक्रिया को छोड़ना बेहतर होगा

स्वीकार किए गए उत्तर गड़बड़ हो जाता है जब हमारे पास बहुत सारे परमेस होते हैं या यदि हम नामित मापदंडों का उपयोग करना चाहते हैं

कुछ परीक्षणों के बाद

ids = [5, 3, ...]  # list of ids
cursor.execute('''
SELECT 
...
WHERE
  id IN %(ids)s
  AND created_at > %(start_dt)s
''', {
  'ids': tuple(ids), 'start_dt': '2019-10-31 00:00:00'
})

के साथ परीक्षण किया गया python2.7,pymysql==0.7.11

Question 4

यदि आप उपयोग करते हैं Django 2.0 or 2.1और Python 3.6, यह सही तरीका है:

from django.db import connection
RESULT_COLS = ['col1', 'col2', 'col3']
RESULT_COLS_STR = ', '.join(['a.'+'`'+i+'`' for i in RESULT_COLS])
QUERY_INDEX = RESULT_COLS[0]

TABLE_NAME = 'test'
search_value = ['ab', 'cd', 'ef']  # <-- a list
query = (
    f'SELECT DISTINCT {RESULT_COLS_STR} FROM {TABLE_NAME} a '
    f'WHERE a.`{RESULT_COLS[0]}` IN %s '
    f'ORDER BY a.`{RESULT_COLS[0]}`;'
)  # <- 'SELECT DISTINCT a.`col1`, a.`col2`, a.`col3` FROM test a WHERE a.`col1` IN %s ORDER BY a.`col1`;'
with connection.cursor() as cursor:
    cursor.execute(query, params=[search_value])  # params is a list with a list as its element

रेफरी: https://stackoverflow.com/a/23891759/2803344 https://docs.djangoproject.com/en/2.1/topics/db/sql/#passing-parameters-into-raw

Question 5

हालांकि यह सवाल काफी पुराना है। मैं अपना समाधान साझा कर रहा हूं अगर यह किसी की मदद कर सकता है।

list_to_check = ['A', 'B'] cursor.execute("DELETE FROM foo.bar WHERE baz IN ({})".format(str(list_to_check)[1:-1])

के साथ परीक्षण किया गया Python=3.6

Question 6

सूची बोध का उपयोग करते हुए एक और सरल उपाय:

# creating a new list of strings and convert to tuple
sql_list = tuple([ key.encode("UTF-8") for key in list_of_ids ])

# replace "{}" with "('id1','id2',...'idlast')"
cursor.execute("DELETE FROM foo.bar WHERE baz IN {}".format(sql_list))

Question 7

list_of_ids = [ 1, 2, 3]
query = "select * from table where x in %s" % str(tuple(list_of_ids))
print query

यह कुछ उपयोग-मामलों के लिए काम कर सकता है यदि आप उस विधि से चिंतित नहीं होना चाहते हैं जिसमें आपको क्वेरी स्ट्रिंग को पूरा करने के लिए तर्क पारित करना होगा और बस आमंत्रित करना चाहते हैं cursror.execute(query)।

एक और तरीका हो सकता है:

"select * from table where x in (%s)" % ', '.join(str(id) for id in list_of_ids)

Question 8

बहुत सरल: बस नीचे के गठन का उपयोग करें

rules_id = ["9", "10"]

sql1 = "अटेंडेंस * फ्रॉम अटेंडेंस_रुल्स_स्टाफ आइडी इन (" + ","। जॉइन (मैप (str, रूल्स_ड)) + ")"

","। जॉइन (नक्शा (str, rules_id))