sql = "select * from table where date in {dl}"
其中dl是日期的元组.我可以通过执行string.format(dl = …)然后在pandas中使用read_sql_query来进行查询,但是我读到这可能导致sql注入,因此并不安全.
但是,sqlAlchemy中似乎没有一个好的替代方法.您似乎无法使用text()将列表传递给参数,然后将列表转换为字符串会首先导致错误.我看到您可以遍历该列表并逐个传递参数,但是为什么有人要这么做呢?
清理变量(删除引号,分号等)是否有助于降低sql注入的风险?无法使用原始sql字符串听起来像是一个可怕的前景.
解决方法:
您可以使用.bindparams()将参数绑定到text()构造中的值:
sql = text("select * from table where date in :dl").bindparams(dl=...)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
