python sql in 防注入

使用Python的DB API规范,您可以将参数的参数传递给execute()方法.我的部分声明是一个WHERE IN子句,我一直在使用元组来填充IN.例如：

 

 

params = ((3, 2, 1), )
stmt = "SELECT * FROM table WHERE id IN %s"
db.execute(stmt, params)

但是当我遇到参数元组只是1项元组的情况时,执行失败.

 

ProgrammingError: ERROR: syntax error at or near “)”
LINE 13: WHERE id IN (3,)

如何让元组正确地使用子句？

 

编辑：请像@rspeer在评论中提到的那样,采取预防措施来保护自己免受SQL注入攻击.

 

使用pg8000进行测试(与PostgreSQL数据库引擎兼容的DB-API 2.0兼容Pure-Python接口)：

这是将多个参数传递给“IN”子句的推荐方法.

 

params = [3,2,1]
stmt = 'SELECT * FROM table WHERE id IN (%s)' % ','.join('%s' for i in params)
cursor.execute(stmt, params)

另一个编辑(完全测试和工作示例)：

 

>>> from pg8000 import DBAPI
>>> conn = DBAPI.connect(user="a", database="d", host="localhost", password="p")
>>> c = conn.cursor()
>>> prms = [1,2,3]
>>> stmt = 'SELECT * FROM table WHERE id IN (%s)' % ','.join('%s' for i in prms)
>>> c.execute(stmt,prms)
>>> c.fetchall()
((1, u'myitem1'), (2, u'myitem2'), (3, u'myitem3'))