python教程—执行“,选择白马王子;白马王子;在白马王子;”;使用MySQLdb-Python实用宝典

python教程—执行“,选择白马王子;白马王子;在白马王子;”;使用MySQLdb

我在Python中执行一些SQL时遇到了问题,尽管类似的SQL在mysql命令行中运行良好。

我在Python中执行一些SQL时遇到了问题,尽管类似的SQL在mysql命令行中运行良好。

表格是这样的:

    mysql> SELECT * FROM foo; +-------+-----+ | fooid | bar | +-------+-----+ | 1 | A | | 2 | B | | 3 | C | | 4 | D | +-------+-----+ 4 rows in set (0.00 sec)

我可以从mysql命令行执行以下SQL查询,没有问题:

    mysql> SELECT fooid FROM foo WHERE bar IN ('A','C'); SELECT fooid FROM foo WHERE bar IN ('A','C'); +-------+ | fooid | +-------+ | 1 | | 3 | +-------+ 2 rows in set (0.00 sec)

然而,当我试图在Python中做同样的事情时,我没有得到行,而我期望有2行:

    import MySQLdb import config connection=MySQLdb.connect( host=config.HOST,user=config.USER,passwd=config.PASS,db='test') cursor=connection.cursor() sql='SELECT fooid FROM foo WHERE bar IN %s' args=[['A','C']] cursor.execute(sql,args) data=cursor.fetchall() print(data) # ()

所以问题是:应该如何修改Python代码来选择bar所在的那些fooid ('A','C')?

顺便说一下,我注意到,如果我切换bar和fooid的角色,我可以让代码成功地选择那些fooid位于(1,3)中的bar。我不明白为什么一个这样的查询(下面)有效,而另一个(上面)不行。

    sql='SELECT bar FROM foo WHERE fooid IN %s' args=[[1,3]] cursor.execute(sql,args) data=cursor.fetchall() print(data) # (('A',), ('C',))

非常清楚,foo表格是这样创建的

    mysql> DROP TABLE IF EXISTS foo; Query OK, 0 rows affected (0.00 sec) mysql> CREATE TABLE `foo` ( `fooid` int(11) NOT NULL AUTO_INCREMENT, `bar` varchar(10) NOT NULL, PRIMARY KEY (`fooid`)); Query OK, 0 rows affected (0.01 sec) mysql> INSERT into foo (bar) values ('A'),('B'),('C'),('D'); Query OK, 4 rows affected (0.00 sec) Records: 4 Duplicates: 0 Warnings: 0

Edit:当我使用mysqld -l /tmp/myquery.log启用通用查询日志时
我看到

    mysqld, Version: 5.1.37-1ubuntu5.5-log ((Ubuntu)). started with: Tcp port: 3306 Unix socket: /var/run/mysqld/mysqld.sock Time Id Command Argument 110101 11:45:41 1 Connect unutbu@localhost on test 1 Query set autocommit=0 1 Query SELECT fooid FROM foo WHERE bar IN ("'A'", "'C'") 1 Query SELECT bar FROM foo WHERE fooid IN ('1', '3') 1 Quit

事实上,似乎有太多的引号放在A和C周围。

感谢@Amber的评论,我更明白出了什么问题。MySQLdb将参数化参数['A','C']转换为('A','C')。

是否有使用IN SQL语法进行参数化查询的方法?还是必须手工构造SQL字符串?

回答

下面是一个类似的解决方案,我认为它在构建SQL中的%s字符串列表时更有效:

直接使用list_of_id:

    format_strings = ','.join(['%s'] * len(list_of_ids)) cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings, tuple(list_of_ids))

这样就避免了引用自己的语句,也避免了各种sql注入。

注意,数据(list_of_id)作为一个参数(不在查询文本中)直接进入mysql的驱动程序,因此没有注入。您可以在字符串中留下任何您想要的字符,不需要删除或引用字符。

​Python实用宝典 (pythondict.com)
不只是一个宝典
欢迎关注公众号:Python实用宝典

本文由 Python实用宝典 作者:Python实用宝典 发表,其版权均为 Python实用宝典 所有,文章内容系作者个人观点,不代表 Python实用宝典 对观点赞同或支持。如需转载,请注明文章来源。
1

发表评论