Передача списка в предложении WHERE python mysql

Я пытаюсь получить список значений скорости из моей таблицы в моей базе данных. Мне было интересно, была ли это команда/метод SQL, которая позволила бы мне передать список CharID в функции WHERE, чтобы мне не пришлось создавать цикл FOR и выполнять четыре поиска отдельно.

party_ids= [4, 3, 1, 2]

def initializegame(party_ids):
    #Get selected party members IDS
    print(party_ids)
    #Obtain Speeds
    fetchspeed=("SELECT startspeed FROM characters WHERE CharID=%s")
    print(fetchspeed)
    mycursor.execute(fetchspeed,party_ids)
    myspeeds=mycursor.fetchall()
    print(myspeeds)
    print("done")

Я относительно новичок в SQL, и я могу упустить что-то важное.

Я пробовал: передача списка в предложение where Тем не менее, это было слишком сложно для понимания.

заранее спасибо

python mysql

12.05.2019 20:37

Почему в Python есть оператор "pass"?

Оператор pass в Python - это простая концепция, которую могут быстро освоить даже новички без опыта программирования.

Некоторые методы, о которых вы не знали, что они существуют в Python

Python - самый известный и самый простой в изучении язык в наши дни. Имея широкий спектр применения в области машинного обучения, Data Science,...

Основы Python Часть I

Вы когда-нибудь задумывались, почему в программах на Python вы видите приведенный ниже код?

LeetCode - 1579. Удаление максимального числа ребер для сохранения полной проходимости графа

Алиса и Боб имеют неориентированный граф из n узлов и трех типов ребер:

Оптимизация кода с помощью тернарного оператора Python

И последнее, что мы хотели бы показать вам, прежде чем двигаться дальше, это

Советы по эффективной веб-разработке с помощью Python

Как веб-разработчик, Python может стать мощным инструментом для создания эффективных и масштабируемых веб-приложений.

1 144

Перейти к ответу Данный вопрос помечен как решенный

Ответы 2

Ответ принят как подходящий

Вы можете использовать ключевое слово IN для фильтрации на основе списка.

party_ids= [4, 3, 1, 2]

def initializegame(party_ids):
    #Get selected party members IDS
    print(party_ids)
    #Obtain Speeds

    ids_string = ','.join(str(id) for id in party_ids)
    mycursor.execute("SELECT startspeed FROM characters WHERE CharID IN ({0})".format(ids_string))

    myspeeds=mycursor.fetchall()
    print(myspeeds)
    print("done")

Вы можете найти больше информации о ключевом слове IN и о том, как оно работает, из этого Учебник по блогу MySQL.

Этот код широко открыты для SQL-атак. Использовать ли нет форматирование строк для интерполяции значений. party_ids = ["''; DROP TABLE characters"] удалит characters таблицу из базы данных в момент запуска этой функции.

— 13.01.2020 12:16

12.05.2019 21:15

Используйте ключевое слово В, если у вас есть несколько значений, по которым вы фильтруете. В этом случае у вас есть известные целочисленные значения, поэтому внедрение SQL не является проблемой. Но ваша функция была написана так, что ей могли быть переданы произвольные значения, где SQL-инъекция могла быть проблемой, или вам могли быть переданы строковые литералы, которые необходимо экранировать. Поэтому стоит решить эти проблемы, позволив драйверу базы данных обрабатывать фактические параметры:

party_ids= [4, 3, 1, 2]

def initializegame(party_ids):
    #Get selected party members IDS
    print(party_ids)
    #Obtain Speeds

    in_params = ','.join(['%s'] * len(party_ids))
    sql = "SELECT startspeed FROM characters WHERE CharID IN (%s)" % in_params
    mycursor.execute(sql, party_ids)

    myspeeds=mycursor.fetchall()
    print(myspeeds)
    print("done")

Переменная SQL становится: