尝试在 MySQL 查询的 IN 子句中使用 ID 列表时,必须确保操作安全,避免潜在的SQL注入漏洞。与将列表映射到字符串并直接在查询中使用它(这使其容易受到攻击)不同,一种更安全的方法是直接使用列表作为参数。
要实现这一点,可以利用格式字符串来根据列表的长度生成适当数量的占位符 (%s)。然后列表本身作为元组传递给execute()函数,从而避免了手动引用和转义的需要。
format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,
tuple(list_of_ids))通过发送数据(list_of_ids)作为参数,它由直接MySQL的驱动,消除注入风险。此方法允许保留字符串中的任何字符,而不需要额外的清理或引用。
以上是如何在 MySQL IN 子句中安全地使用 Python 列表?的详细内容。更多信息请关注PHP中文网其他相关文章!
