我正在试图弄清楚如何正确使用WHERE _ IN _ 语句
定义:
c.execute('''CREATE TABLE IF NOT EXISTS tab (
_id integer PRIMARY KEY AUTOINCREMENT,
obj text NOT NULL
) ;''')
我正在尝试做这样的事情:
list_of_vars=['foo','bar']
statement="SELECT * FROM tab WHERE obj IN (?)"
c.execute(statement,"'"+"','".join(list_of_vars)+"'")
或者,我也试过这个,直接评估上面的
statement="SELECT * FROM tab WHERE obj IN (?)"
c.execute(statement,"'foo','bar'")
我得到的错误是:
sqlite3.ProgrammingError: Incorrect number of bindings supplied. The current statement uses 1, and there are 9 supplied
这给了我一个错误。当我这样做时,它可以工作,但不建议这样做,因为它容易受到SQL注入攻击。
statement="SELECT * FROM tab WHERE obj IN ("+"'"+"','".join(statement)+"'"+")
答案 0 :(得分:9)
您需要创建足够的参数来匹配您的变量列表:
statement = "SELECT * FROM tab WHERE obj IN ({0})".format(', '.join(['?'] * len(list_of_vars)))
c.execute(statement, list_of_vars)
请注意,您传入list_of_vars作为参数值列表。使用', '.join()我们生成一个由逗号分隔的?字符串,然后使用.format()将其插入到语句中。
对于很长的变量列表,使用临时表来保存这些值可能更有效,然后对临时表使用JOIN而不是使用绑定参数的IN子句。
答案 1 :(得分:0)
仅供参考,使用 MySQL 用户的 pymysql。
query ="SELECT * FROM tab WHERE obj IN %s"
cursor.execute(query, (['foo','bar'],))
same as
cursor.execute(query, (list_of_var,))
我不确定 sqlite3, 这可能有效,
query ="SELECT * FROM tab WHERE obj IN ?"
cursor.execute(query, (['foo','bar'],))
or
cursor.execute(query, (list_of_vars,))