목록을 사용하여 안전한 MySQL IN 절 생성

MySQL 데이터베이스 및 Python으로 작업할 때 다음에서 사용할 목록을 내포하는 것이 유용할 수 있습니다. IN 절. 그러나 SQL 주입 취약점을 방지하려면 이 작업을 안전하게 수행하는 것이 중요합니다.

값 목록이 포함된 문자열을 수동으로 구성하는 대신 쿼리 매개 변수 메커니즘을 사용하는 것이 선호되는 방법입니다. 이를 통해 인용이나 이스케이프를 처리할 필요 없이 목록을 데이터베이스 드라이버에 직접 전달할 수 있습니다.

이를 수행하는 방법은 다음과 같습니다.

format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN ("   format_strings   ")", tuple(list_of_ids))

이 방법을 사용하면 MySQL이 매개변수화를 처리하도록 허용하여 SQL 주입을 피할 수 있습니다. 질문. 데이터는 전처리 없이 쿼리에 직접 삽입되므로 안전성과 효율성이 모두 보장됩니다.