У мене є список пітонів, скажімо, л
l = [1,5,8]Я хочу написати запит sql, щоб отримати дані для всіх елементів списку, скажімо
select name from students where id = |IN THE LIST l|Як я це досягну?
список python у запиті sql як параметр
Відповіді:
Досі відповіді складали шаблони значень у звичайний рядок SQL. Це цілком чудово для цілих чисел, але якщо ми хотіли зробити це для рядків, ми отримаємо проблему, що протікає.
Ось варіант із використанням параметризованого запиту, який би працював для обох:
placeholder= '?' # For SQLite. See DBAPI paramstyle.
placeholders= ', '.join(placeholder for unused in l)
query= 'SELECT name FROM students WHERE id IN (%s)' % placeholders
cursor.execute(query, l)
@Tistentmaster: так,
—
bobince
([placeholder]*len(l))у загальному випадку це повинно бути, оскільки у заповнювача може бути кілька символів.
@bobince в моєму випадку я призначив змінну a = 'john' і b = 'snow' і зберігав її в кортежі з назвою got = ['a, b'] і виконував той самий запит. Роблячи це, я отримав помилку, тобто помилка типу: не всі аргументи, перетворені під час форматування рядків. Як я маю це вирішити
—
TechJhola
Чому ви хочете приєднатися "від руки", а не залишати цю роботу dbapi? Ключовим моментом є використання кортежу, а не списку ...
—
Алессандро Дентелла
Виходячи з цієї відповіді, тут є однолінійне рішення для Python 3.6
—
toto_tico
cursor.execute(f'SELECT name FROM students WHERE id IN ({','.join('?' for _ in l)})', l) . @bobince, ви також повинні зауважити у своєму рішенні, що використання ?- це безпечний шлях, щоб уникнути ін'єкції SQL. Тут є безліч відповідей, які вразливі, в основному будь-які, що об'єднують рядки в python.
Найпростіший спосіб - повернути список tupleпершим
t = tuple(l)
query = "select name from studens where id IN {}".format(t)
Це насправді правильна відповідь. Я не впевнений, чому це було проігноровано. Спочатку ви встановлюєте список l, потім використовуєте кортеж, а потім передаєте кортеж у запит. молодець.
—
MEdwin
Як зазначає @renstrm, це не працює, якщо я просто містить один елемент, ви отримаєте id IN (1,). Що є синтаксичною помилкою.
—
Подвоєння
@Boris, якщо ви не можете гарантувати, що ваше введення завжди є списком, ви можете зробити щось подібне до цього одного вкладиша stackoverflow.com/questions/38821586/…, перш ніж передати аргумент на ваш запит
—
Амір Імані
Цей, як і більшість відповідей тут, крім прийнятого, є вразливим до ін'єкції SQL і його не слід використовувати.
—
Шматочки бекону
@BaconBits Справедливе попередження, але для деяких програм, де введення SQL не є проблемою (наприклад, аналіз бази даних, де я єдиний користувач), це зробить.
—
Ірен
Не ускладнюйте це, рішення для цього просте.
l = [1,5,8]
l = tuple(l)
params = {'l': l}
cursor.execute('SELECT * FROM table where id in %(l)s',params)
Я сподіваюся, що це допомогло !!!
Це не працює, якщо
—
renstrm
lмістить лише один елемент, ви закінчите id IN (1,). Що є синтаксичною помилкою.
Якщо я містить лише 1 елемент, будьте впевнені, що це кортеж, і він буде працювати. Це рішення на мою думку чіткіше, ніж прийняте.
—
Алессандро Дентелла
Але він все одно не буде працювати, якщо кортеж порожній, тому перед виконанням запиту необхідно додатково перевірити.
—
Никита Конин
Це не працює для мене
—
Нік Шаммас
sqlite3. З якою бібліотекою ви протестували це?
Гарне рішення, але @renstrm і Никита-Конин вірно вимагають додаткових перевірок, коли в кортежі є один елемент або відсутні елементи.
—
Аніш Сана
SQL, який ви хочете, є
select name from studens where id in (1, 5, 8)Якщо ви хочете побудувати це з python, який ви могли б використовувати
l = [1, 5, 8]
sql_query = 'select name from studens where id in (' + ','.join(map(str, l)) + ')'Функція map перетворить список у список рядків, які можна склеїти комами за допомогою методу str.join .
Як варіант:
l = [1, 5, 8]
sql_query = 'select name from studens where id in (' + ','.join((str(n) for n in l)) + ')'якщо ви віддаєте перевагу генераторним виразам функції карти.
ОНОВЛЕННЯ: С. Лотт в коментарях зазначає, що зв'язки Python SQLite не підтримують послідовності. У такому випадку ви можете захотіти
select name from studens where id = 1 or id = 5 or id = 8Породжено
sql_query = 'select name from studens where ' + ' or '.join(('id = ' + str(n) for n in l))
:-( Прив'язка Python SQLite не підтримує послідовностей.
—
S.Lott
Ой? Я не усвідомлював. Знову ж таки, я не розумів, що ми збираємось рішення для прив'язки SQLite.
—
Блер Конрад
Вибачте, не пропонуючи або маючи на увазі SQLite - просто сумно, що прив'язки для списків там не працюють.
—
S.Lott
string.поєднайтеся зі списком, розділеними комами, і використовуйте оператор формату для формування рядка запиту.
myquery = "select name from studens where id in (%s)" % ",".join(map(str,mylist))(Спасибі, Блер-Конрад )
Оскільки цей підхід не використовує заміну параметрів бази даних, він піддає вам атаки ін'єкцій SQL. Тут
—
Нік Чаммас
%використовується просто звичайне форматування рядків Python.
Мені подобається відповідь бобінца:
placeholder= '?' # For SQLite. See DBAPI paramstyle.
placeholders= ', '.join(placeholder for unused in l)
query= 'SELECT name FROM students WHERE id IN (%s)' % placeholders
cursor.execute(query, l)Але я помітив це:
placeholders= ', '.join(placeholder for unused in l)Можна замінити на:
placeholders= ', '.join(placeholder*len(l))Я вважаю це більш прямим, якщо менш розумним і менш загальним. Тут lпотрібно мати довжину (тобто посилатися на об'єкт, який визначає __len__метод), що не повинно бути проблемою. Але заповнювач місця повинен також бути одним символом. Щоб підтримати заповнення заповнення кількох символів:
placeholders= ', '.join([placeholder]*len(l))Рішення для @umount відповіді, оскільки це порушилось з одноелементним кортежем, оскільки (1,) не є дійсним SQL:
>>> random_ids = [1234,123,54,56,57,58,78,91]
>>> cursor.execute("create table test (id)")
>>> for item in random_ids:
cursor.execute("insert into test values (%d)" % item)
>>> sublist = [56,57,58]
>>> cursor.execute("select id from test where id in %s" % str(tuple(sublist)).replace(',)',')'))
>>> a = cursor.fetchall()
>>> a
[(56,), (57,), (58,)]Інше рішення для sql string:
cursor.execute("select id from test where id in (%s)" % ('"'+'", "'.join(l)+'"'))
Це не краще рішення через введення sql.
—
Анураг
placeholders= ', '.join("'{"+str(i)+"}'" for i in range(len(l)))
query="select name from students where id (%s)"%placeholders
query=query.format(*l)
cursor.execute(query)Це повинно вирішити вашу проблему.
Якщо ви використовуєте PostgreSQL з бібліотекою Psycopg2, ви можете дозволити його адаптації кортежу виконати для вас усю протікаючу та рядкову інтерполяцію, наприклад:
ids = [1,2,3]
cur.execute(
"SELECT * FROM foo WHERE id IN %s",
[tuple(ids)])тобто переконайтеся, що ви передаєте INпараметр як tuple. якщо це a, listви можете використовувати = ANYсинтаксис масиву :
cur.execute(
"SELECT * FROM foo WHERE id = ANY (%s)",
[list(ids)])зауважте, що обидва вони перетворяться на один і той же план запитів, тому вам слід просто використовувати те, що легше. наприклад, якщо ваш список входить в кортеж, використовуйте перший, якщо вони зберігаються в списку, використовуйте останні.
більш просте рішення:
lst = [1,2,3,a,b,c]
query = f"""SELECT * FROM table WHERE IN {str(lst)[1:-1}"""l = [1] # or [1,2,3]
query = "SELECT * FROM table WHERE id IN :l"
params = {'l' : tuple(l)}
cursor.execute(query, params):varНотація здається простіше. (Пітон 3.7)
При цьому використовується підміна параметрів і опікується випадком списку єдиних значень:
l = [1,5,8]
get_operator = lambda x: '=' if len(x) == 1 else 'IN'
get_value = lambda x: int(x[0]) if len(x) == 1 else x
query = 'SELECT * FROM table where id ' + get_operator(l) + ' %s'
cursor.execute(query, (get_value(l),))
','.join(placeholder * len(l))буде трохи коротше, поки ще читається імхо