Python3 + 数据库:"Select * from `table` where `field` IN (...) AND `field2` = '...'"
Python3 + DB: "Select * from `table` where `field` IN (...) AND `field2` = '...'"
使用 Python3 和
cursor.execute(sql, {key1: val1, key2: val2})
语法,我想执行一个安全的(SQL-防注入)查询,例如:
SELECT * FROM `table`
WHERE
a = %(fieldA)s AND b IN (%(fieldB)s)
基本上,我正在寻找 this question 的答案,但使用 Python3 语法并使用多个字段。
如果我使用@nosklo的回答:
format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,
tuple(list_of_ids))
1) 如何使用字典语法实现双重格式化语法 (format_strings, tuple(list_of_ids))):
cursor.execute(sql, {'field': 'val'})
2) 以及当我有多个字段时如何在我的案例中实现它:
cursor.execute(sql, {'x': 'myList', 'y':myOtherVar'})
?
好的,我想我刚发现:
myList = ["a", "b", "c"]
myStr = "d"
sql = """SELECT * FROM `table`
WHERE
a = %(myStr)s AND b IN %(myList)s"""
cursor.execute(sql, {
myList: myList,
myStr: myStr
})
之前一直在尝试使用 IN (%(myStr)s) 而不是 IN %(myStr)s。
我仍然不明白为什么有些人声称我们必须在那种情况下使用元组,因为列表工作得很好。
使用 Python3 和
cursor.execute(sql, {key1: val1, key2: val2})
语法,我想执行一个安全的(SQL-防注入)查询,例如:
SELECT * FROM `table`
WHERE
a = %(fieldA)s AND b IN (%(fieldB)s)
基本上,我正在寻找 this question 的答案,但使用 Python3 语法并使用多个字段。
如果我使用@nosklo的回答:
format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,
tuple(list_of_ids))
1) 如何使用字典语法实现双重格式化语法 (format_strings, tuple(list_of_ids))):
cursor.execute(sql, {'field': 'val'})
2) 以及当我有多个字段时如何在我的案例中实现它:
cursor.execute(sql, {'x': 'myList', 'y':myOtherVar'})
?
好的,我想我刚发现:
myList = ["a", "b", "c"]
myStr = "d"
sql = """SELECT * FROM `table`
WHERE
a = %(myStr)s AND b IN %(myList)s"""
cursor.execute(sql, {
myList: myList,
myStr: myStr
})
之前一直在尝试使用 IN (%(myStr)s) 而不是 IN %(myStr)s。
我仍然不明白为什么有些人声称我们必须在那种情况下使用元组,因为列表工作得很好。