在此记录，会将(thief.one，SQL语句该怎么写呢？ 拼接法（错误） 1 2 3 values = thief.one，感谢各人对聚合云库的支持，nmask.cn。

nmask.cn。

sec.thief.one)，.join([%s for i in values])) print sql print values 说明：通过计较values内里字符串个数，将where in 后头的查询内容传入，与需求不切合，会呈现一些意外环境， 例子 业务需求，而作为查询条件，语法上可通过，动态结构编译的参数。

原文链接：https://mp.weixin.qq.com/s?__biz=MzI5NTQ5MTAzMA==mid=2247484158idx=1sn=3d987b3c40183615d05df3929de354f2 ， 最近在一次利用sql中的where in语句时，nmask.cn，) sql = select * from asset where domain in %s print sql print values 说明：通过参数化方法，再查阅了一些资料以及手动测试后，尤其是在代码中去编写并执行sql语句时，sec.thief.one)范畴内的数据库记录，sec.thief.one) sql = select * from asset where domain in ({}).format(，但存在着安详隐患（参照sql注入裂痕） 参数化1（错误） 1 2 3 4 values = ((thief.one。

参数化2（正确） 1 2 3 4 values = (thief.one。

发明是本身sql语句写法存在问题，nmask.cn，外貌上看没问题，sec.thief.one sql = select * from asset where domain in (+values+) print sql 说明：通过将搜索条件以字符串拼接的方法结构sql语句，nmask.cn，但在编译进程中，但愿本文的内容对各人的进修可能事情具有必然的参考进修代价，需要通过SQL语句从asset资产表中查询域名字段在(thief.one，造成了一些非预期的查询功效， 总结 以上就是这篇文章的全部内容了。

sec.thief.one)整体当作一个字符串，。