Python の MySQL IN 句でリストを安全に使用するにはどうすればよいですか?

Python の MySQL IN 句でリストを安全に使用する

Python では、join を使用してリストを文字列に簡単に変換できます。 （） 方法。ただし、その文字列を MySQL IN 句で使用する場合、SQL インジェクションの脆弱性を回避することが重要です。

従来のアプローチでは、文字列を実行する前に手動で引用符を付けてエスケープする必要があり、エラーが発生しやすい可能性があります。これに対処するには、次の手法を使用して強力な list_of_ids を直接利用できます:

1. フォーマット文字列を作成する: リスト内の値のプレースホルダーを含む文字列を作成します。たとえば、list_of_ids に 3 つの要素がある場合、','.join(['%s'] * 3) のような文字列を作成すると、結果は「?, ?, ?」となります。
2. クエリを実行します: カーソル オブジェクトのexecute() メソッドを使用してクエリを実行します。最初の引数としてフォーマット文字列を渡し、2 番目の引数として list_of_ids を渡します。これにより、値がクエリ文字列に挿入されるのではなく、パラメータとして渡されることが保証されます。

format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings, tuple(list_of_ids))

このアプローチを利用すると、SQL インジェクションを心配することなく、MySQL IN 句でリストを安全に使用できます。 。データはパラメータとして直接渡されるため、手動で引用符を付けたりエスケープしたりする必要はありません。

以上がPython の MySQL IN 句でリストを安全に使用するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。