python - 如何在 pyodbc 中使用带有 IN 子句的 SQL 参数来获取可变数量的值？

Question

我有一个值列表，我想在 IN 子句中使用这些值，以便使用 pyodbc 执行 SQL (SQL Server) 语句。示例:

files = ['file1', 'file2', ...]  # this list can have a variable number of elements
con = pyodbc.connect(...)

# What I'd like to do
result = con.cursor().execute('SELECT * FROM sometable WHERE file_name IN (?)', files)

但是，当我执行上面的语句时，出现如下错误:

ProgrammingError: ('The SQL contains 1 parameter markers, but 18 parameters were supplied', 'HY000')

我可以使用类似的东西生成可变参数字符串:

params = ','.join(['?']*len(files))
query = 'SELECT * FROM sometable WHERE file_name IN ({})'.format(params)
result = con.cursor().execute(query, files)

但如果我理解正确的话，这样做会使我面临 SQL 注入(inject)的风险。有没有办法安全地完成此操作？

Answer 1

您可以使用 JSON 将列表传递给 SQL Server。 EG

import numpy as np
import pandas as pd
import pyodbc
import json 

files = ['file1', 'file2', 'file3']  # this list can have a variable number of elements
json_files = json.dumps(files)
print(json_files)
conn = pyodbc.connect('Driver={Sql Server};'
                      'Server=localhost;'
                      'Database=tempdb;'
                      'Trusted_Connection=yes;')

cursor = conn.cursor()

cursor.execute("create table #sometable(id int, file_name varchar(255)); insert into #sometable(id,file_name) values (1,'file2')")
# What I'd like to do
result = cursor.execute('SELECT * FROM #sometable WHERE file_name IN (select value from openjson(?))', json_files)
rows = cursor.fetchall()
print(rows)