SQL WHERE IN参数化编译写法简单示例

前言

最近在一次使用sql中的where in语句时，造成了一些非预期的查询结果。尤其是在代码中去编写并执行sql语句时，会出现一些意外情况。再查阅了一些资料以及手动测试后，发现是自己sql语句写法存在问题，在此记录。

例子

业务需求，需要通过SQL语句从asset资产表中查询域名字段在(“thief.one”,”nmask.cn”,”sec.thief.one”)范围内的数据库记录，SQL语句该怎么写呢？

拼接法（错误）

values = "'thief.one','nmask.cn','sec.thief.one'"
sql = "select * from asset where domain in ("+values+")"
print sql

说明：通过将搜索条件以字符串拼接的方式构造sql语句，语法上可通过，但存在着安全隐患（参照sql注入漏洞）

参数化1（错误）

values = (("thief.one","nmask.cn","sec.thief.one"),)
sql = "select * from asset where domain in %s"
print sql
print values

说明：通过参数化方式，将where in 后面的查询内容传入。表面上看没问题，但在编译过程中，会将(“thief.one”,”nmask.cn”,”sec.thief.one”)整体看成一个字符串，而作为查询条件，与需求不符合。

参数化2（正确）

values = ("thief.one","nmask.cn","sec.thief.one")
sql = "select * from asset where domain in ({})".format(",".join(['%s' for i in values]))
print sql
print values

说明：通过计算values里面字符串个数，动态构造编译的参数。

总结