python sql WHERE句に渡す値を配列にする

前提

pythonのsqlでWHERE句に渡す値を配列で受け渡すことが出来るように設計しています。
namesの配列の要素はinfoテーブルに属しています。

実現したいこと

sql文のWHERE句に渡す値を配列で実現したい

発生している問題・エラーメッセージ

name_dbにうまく情報を格納できていない

names = ["太郎", "史郎"]
name_db = db.execute("SELECT name, age, sex FROM info IN ?", names)

試したこと

列名=any(配列名)を試したがうまくいかないようであった

melian

2022/09/25 11:00

names の要素数が 2 以上であれば、 name_db = db.execute(f"SELECT name, age, sex FROM info IN {tuple(names)}")

TakaiY

2022/09/25 12:00

(回答に書くべき > melianさん)

行動規範の内容に同意します

回答1件

ベストアンサー

リストの要素分のプレースホルダを用意し、安全に値を渡します。

python
1stmt_formats = ','.join(['%s'] * len(names))
2db.execute("SELECT name, age, sex FROM info IN  (%s)" % stmt_formats, tuple(names))

段階を追って説明すると下記のようになります。
①

stmt_formats = ','.join(['%s'] * len(names))

これによって、names の要素の数だけプレースホルダ「%s」がカンマで区切られた文字列が作成されます。

・作成される文字列；
%s,%s

②

"SELECT name, age, sex FROM info IN  (%s)" % stmt_formats

この部分で、IN の右にある %s が、さきほど作成した stmt_formats (「%s,%s」）に置換されます。

・作成されるSQL文
"SELECT name, age, sex FROM info IN (%s,%s)"

③

python
1db.execute("SELECT name, age, sex FROM info IN  (%s)" % stmt_formats, tuple(names))

execute 関数の第2引数に、タブルを指定することで、プレースホルダに内容が渡されます。
SQL文は、　"SELECT name, age, sex FROM info IN (%s,%s)"　
tuple(names)　===> ("太郎", "史郎")
なので、1番目の %s に「太郎」2番目の %s に「史郎」が渡されます。
仮に太郎、史郎がSQLインジェクションの意図を持つ文字列であったとしても、エスケープされるため安全です。

※ f ストリングによって SQL を直接組み立てる方法は、SQL インジェクションを起こす危険があるため、以下のような場合を除き、安易に使用すべきではありません。
＜f ストリング等での組み立てでもよい場合＞