sql = "select * from table where date in {dl}"
其中dl是日期的元组.我可以通过执行string.format(dl = …)然后在pandas中使用read_sql_query来进行查询,但是我读到这可能导致sql注入,因此并不安全.
但是,sqlAlchemy中似乎没有一个好的替代方法.您似乎无法使用text()将列表传递给参数,然后将列表转换为字符串会首先导致错误.我看到您可以遍历该列表并逐个传递参数,但是为什么有人要这么做呢?
清理变量(删除引号,分号等)是否有助于降低sql注入的风险?无法使用原始sql字符串听起来像是一个可怕的前景.
解决方法:
您可以使用.bindparams()将参数绑定到text()构造中的值:
sql = text("select * from table where date in :dl").bindparams(dl=...)
