Comment puis-je utiliser en toute sécurité une liste dans une clause MySQL IN en Python ?

Utiliser une liste en toute sécurité dans une clause MySQL IN en Python

En Python, vous pouvez facilement convertir une liste en chaîne à l'aide de la jointure () méthode. Cependant, lors de l'utilisation de cette chaîne dans une clause MySQL IN, il est crucial d'éviter les vulnérabilités d'injection SQL.

L'approche traditionnelle consiste à citer et à échapper manuellement la chaîne avant de l'exécuter, ce qui peut être sujet à des erreurs. Pour résoudre ce problème, vous pouvez exploiter le puissant list_of_ids directement en utilisant la technique suivante :

1. Créer une chaîne de format : Créez une chaîne avec des espaces réservés pour les valeurs de la liste. Par exemple, si list_of_ids a 3 éléments, créez une chaîne comme ','.join(['%s'] * 3), ce qui donnerait "?, ?, ?".
2. Exécutez la requête : Utilisez la méthode execute() de l'objet curseur pour exécuter la requête. Passez la chaîne de format comme premier argument et le list_of_ids comme deuxième argument. Cela garantit que les valeurs sont transmises en tant que paramètres et non interpolées dans la chaîne de requête.

format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings, tuple(list_of_ids))

En utilisant cette approche, vous pouvez utiliser en toute sécurité une liste dans une clause MySQL IN sans vous soucier de l'injection SQL. . Les données sont transmises directement en tant que paramètres, éliminant ainsi le besoin de citations et d'échappements manuels.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!