SQL WHERE IN引數化編譯寫法簡單示例

前言

最近在一次使用sql中的where in語句時，造成了一些非預期的查詢結果。尤其是在**中去編寫並執行sql語句時，會出現一些意外情況。再查閱了一些資料以及手動測試後，發現是自己sql語句寫法存在問題，在此記錄。

例子業務需求，需要通過sql語句從asset資產表中查詢域名字段在(「thief.one」,」nmask.cn」,」sec.thief.one」)範圍內的資料庫記錄，sql語句該怎麼寫呢？

拼接法（錯誤）

values = "'thief.one','nmask.cn','sec.thief.one'"

sql = "select * from asset where domain in ("+values+")"

print sql

說明：通過將搜尋條件以字串拼接的方式構造sql語句，語法上可通過，但存在著安全隱患（參照sql注入漏洞）

引數化1（錯誤）

values = (("thief.one","nmask.cn","sec.thief.one"),)

sql = "select * from asset where domain in %s"

print sql

print 程式設計客棧vawww.cppcns.comlues

說明：通過引數化方式，將where in 後面的查詢內容傳入。表面上看沒問題，但在編譯過程中，會將(「thief.one」,」程式設計客棧nmask.cn」,」sec.thief.one」)整體看成乙個字串，而作為查詢條件，與需求不符合。

引數化2（正確）

values = ("thief.one","nmask.cn","sec.thief.one")

sql = "select * from asset where domain in ({})".format(",".join(['%s' for i in values]))