我有这个SQL查询:
sql = "select * from table where date in {dl}"
其中dl是日期元组。我可以通过string.format(dl=...)然后在pandas中使用read_sql_query来执行查询,但我读到这可能导致SQL注入,因此不安全。
然而,在SQLAlchemy中似乎并不是一个好的助手。您似乎无法使用text()将列表传递给参数,并且将列表转换为字符串会导致错误。我看到你可以遍历列表并逐个传递参数,但为什么有人想要这样做呢?
清理变量(删除引号,分号等)是否有助于降低SQL注入的风险?无法使用原始SQL字符串听起来像是一个糟糕的前景。
答案 0 :(得分:4)
您可以使用.bindparams()将参数绑定到text()构造中的值:
sql = text("select * from table where date in :dl").bindparams(dl=...)
请注意,传递给dl的值必须是要正确呈现的元组。