Взломать список для использования в python MySQLDB IN

Я знаю, как сопоставить список со строкой:

foostring = ",".join( map(str, list_of_ids) )

И я знаю, что я могу использовать следующее, чтобы получить эту строку в разделе IN:

cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % (foostring))

Мне нужно сделать то же самое БЕЗОПАСНО (избегая инъекции SQL) с помощью MySQLDB. В приведенном выше примере, поскольку foostring не передается в качестве аргумента для выполнения, он уязвим. Мне также нужно процитировать и выйти за пределы библиотеки mysql.

(Существует вопрос связанный вопрос SO, но ответы, перечисленные там, либо не работают для MySQLDB, либо уязвимы для SQL-инъекции.)

Ответ 1

Используйте list_of_ids напрямую:

format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,
                tuple(list_of_ids))

Таким образом, вы избегаете процитировать себя и избегаете всех видов SQL-инъекций.

Обратите внимание, что данные (list_of_ids) идут непосредственно в драйвер mysql, как параметр (не в тексте запроса), поэтому нет инъекции. Вы можете оставить любые символы, которые вы хотите в строке, не нужно удалять или указывать символы.

Ответ 2

Безболезненный MySQLdb execute('...WHERE name1 = %s AND name2 IN (%s)', value1, values2)

def execute(sql, *values):

    assert sql.count('%s') == len(values), (sql, values)
    placeholders = []
    new_values = []
    for value in values:
        if isinstance(value, (list, tuple)):
            placeholders.append(', '.join(['%s'] * len(value)))
            new_values.extend(value)
        else:
            placeholders.append('%s')
            new_values.append(value)
    sql = sql % tuple(placeholders)
    values = tuple(new_values)

    # ... cursor.execute(sql, values)

Ответ 3

list_of_ids = [ 1, 2, 3]
query = "select * from table where x in %s" % str(tuple(list_of_ids))
print query

Это может работать для некоторых прецедентов, если вы не хотите беспокоиться о методе, в котором вам нужно передать аргументы для завершения строки запроса и хотите вызвать только cursror.execute(query).

Другой способ:

"select * from table where x in (%s)" % ', '.join(str(id) for id in list_of_ids)

Ответ 4

Как предложил этот человек (Выполнение "SELECT... WHERE... IN..." using MySQLdb), быстрее использовать itertools. repeat(), чтобы создать список "% s", чем умножить список ['% s'] (и намного быстрее, чем использование map()), особенно для длинных списков.

in_p = ', '.join(itertools.repeat('%s', len(args)))

Эти тайм-ауты были выполнены с использованием Python 2.7.3 с процессором Intel Core i5 M 540 @2.53GHz × 4:

>>> timeit.timeit("repeat('%s', len(short_list))", 'from itertools import repeat; short_list = range(3)')
0.20310497283935547
>>> timeit.timeit("['%s'] * len(short_list)", 'short_list = range(3)')
0.263930082321167
>>> timeit.timeit("list(map(lambda x:'%s', short_list))", 'short_list = range(3)')
0.7543060779571533


>>> timeit.timeit("repeat('%s', len(long_list))", 'from itertools import repeat; long_list = range(1000)')
0.20342397689819336
>>> timeit.timeit("['%s'] * len(long_list)", 'long_list = range(1000)')
4.700995922088623
>>> timeit.timeit("list(map(lambda x:'%s', long_list))", 'long_list = range(1000)')
100.05319118499756

Ответ 5

Очень просто: просто используйте приведенную ниже формулу

rules_id = [ "9", "10" ]

sql1 = "SELECT * FROM attendance_rules_staff WHERE id in (" + ",".join(map (str, rules_id)) + ")"

",".join(map (str, rules_id))