Список пропусков как параметр запроса [duplicate]

Question

Список пропусков как параметр запроса [duplicate]

0

Есть ли способ передать список python в качестве параметра подготовленного оператора в pymysql?

list_id = [1,2,3]
sql = "select * from table where id in (%s)"
cursor.execute(sql,(list_id,))

szu 30 май 2018, в 21:10

Источник

0

Нет. Нет способа сделать это ... передать набор (список) значений в один заполнитель привязки. Подготовленные значения связывания операторов являются скалярными значениями. Невозможно передать синтаксис, который будет интерпретироваться как SQL. Чтобы выполнить это подготовленный оператор с заполнителями связывания, текст SQL должен быть « SELECT * FROM table WHERE id IN (?,?,?) », Отдельным знаком вопроса для каждого значения. Мы могли бы написать код для подсчета количества значений в списке, а затем динамически сгенерировать оператор SQL с необходимым количеством заполнителей.
spencer7593 30 май 2018, в 19:00
0

@spencer7593 spencer7593 Я думаю, что это точная техника, объясненная в ответе на связанный вопрос
Jean-François Fabre♦ 30 май 2018, в 19:04

Теги:

mysql

python

pymysql

3 ответа

Ещё вопросы

Нет. Нет способа сделать это ... передать набор (список) значений в один заполнитель привязки. Подготовленные значения связывания операторов являются скалярными значениями. Невозможно передать синтаксис, который будет интерпретироваться как SQL. Чтобы выполнить это подготовленный оператор с заполнителями связывания, текст SQL должен быть « SELECT * FROM table WHERE id IN (?,?,?) », Отдельным знаком вопроса для каждого значения. Мы могли бы написать код для подсчета количества значений в списке, а затем динамически сгенерировать оператор SQL с необходимым количеством заполнителей.
@spencer7593 spencer7593 Я думаю, что это точная техника, объясненная в ответе на связанный вопрос

Anthony · Answer 1 · 2018-05-30T17-31-00.000Z

Я бы сделал это так.

list_id = [1,2,3]
sql = "select * from table where id in ({})".format(",".join([str(i) for i in list_id]))
print(sql)

Out[]: "select * from table where id in (1,2,3)"

Если вам нужен альтернативный способ выполнения выполнения, вот еще одна ссылка на выполнение большого количества курсоров через библиотеку pyodbc. Надеюсь, поможет.

cursor.executemany

executemany (sql, * params)

Выполняет ту же инструкцию SQL для каждого набора параметров, возвращая None. Параметр одиночных параметров должен быть последовательностью последовательностей или генератором последовательностей.

params = [('A', 1), ('B', 2)] executemany ("insert into t (name, id) values (?,?)", params) Это будет выполнять инструкцию SQL дважды, один раз с ('A', 1) и один раз ('B', 2).

Это не то, о чем просил ОП. Они хотели один запрос, который может использовать IN а затем предоставить список.
Да, со второй мысли я понял, что я не в теме; p, поэтому я изменил ответ. Спасибо за напоминание
Ваше редактирование сбивает с толку (какая релевантность идентифицирует executemany ?) И подвергается серьезному риску внедрения SQL. Нет никакой причины использовать форматирование строк здесь вообще. Вам было бы полезно прочитать дубликат, потому что вы честно открываете себя для серьезных проблем, если когда-нибудь сделаете что-то подобное в рабочем коде.
@roganjosh, я знаю о рисках SQL-инъекций. Спасибо за указание на недостатки в моем коде, потому что у меня, конечно, не было опыта проектирования баз данных, поэтому мне может не хватать опыта. Я просто пытаюсь помочь OP, так как OP пытался передать набор списков в один заполнитель, который, я думаю, можно было бы решить, int элемент int к str и соединяя его запятой для соответствия синтаксисам SQL.

Bharath Bharath · Answer 2 · 2018-05-30T17-08-00.000Z

если ваш список будет иметь только целые числа, тогда вам придется объединить их с символом "," и передать как строку.

EPo · Answer 3 · 2018-05-30T16-21-00.000Z

0

list_id = [1,2,3]
# not working:
list_str = ', '.join(list_id)
# most likely:
list_str = ', '.join(map(str, list_id))

Но гораздо лучший способ предотвратить создание сумасшедших заявлений - https://www.python.org/dev/peps/pep-0249/#paramstyle или, как упоминалось в двойном ответе выше. )

EPo 30 май 2018, в 16:21

1

это не работает
Jean-François Fabre♦ 30 май 2018, в 18:56
0

pymysql не принимает строку с разделителями-запятыми
szu 30 май 2018, в 19:00
1

@ Jean-FrançoisFabre - это тоже плохая практика, так как она открыта для SQL-инъекций.
roganjosh 30 май 2018, в 19:00
0

что такое SQL-оператор, который вы хотели бы построить?
Evgeny 30 май 2018, в 19:02
0

@EvgenyPogrebnyak почти наверняка SELECT * FROM somewhere WHERE some_val IN (1, 2, 3) . Я на самом деле думаю, что ваш запрос может работать, но это все еще плохая практика. РЕДАКТИРОВАТЬ нет, это не будет работать, потому что вы смешиваете синтаксис интерполяции строк с параметризованными запросами SQL.
roganjosh 30 май 2018, в 19:03
0

@ У Энтони есть это
Evgeny 30 май 2018, в 19:05
0

@EvgenyPogrebnyak нет, он не делает. Эти ответы служат лишь плохим примером того, как это сделать.
roganjosh 30 май 2018, в 19:06
0

@roganjosh - есть только такой большой вред, который вы можете нанести, создавая SQL-запросы вручную), что является правильным способом?
Evgeny 30 май 2018, в 19:11
0

@EvgenyPogrebnyak как злоумышленник, необратимо удаляя каждый бит данных в вашей базе данных? Вы исследовали SQL-инъекцию ? placeholders = ', '.join(['?' for item in list_id]) ; "select * from table where id in ({})".format(placeholders)
roganjosh 30 май 2018, в 19:14
0

Давайте продолжим эту дискуссию в чате .
Evgeny 30 май 2018, в 19:19

Показать ещё 8 комментариев