Предотвращение SQL-инъекции со списками в python

Question

Итак, у меня есть список форматированных строк, которые я хочу вставить в базу данных. Они отформатированы, поэтому база данных будет принимать этот тип строки.

Вот пример формата:

mylist = [('123456789'), ('987654321'), ('1234554321'),....('9999999999')] 
mylist[0] = ('123456789') 

Формат должен быть гарантировать, что они введены правильно.

Я хочу, чтобы убедиться, что она защищена от инъекции SQL,

Я знаю, что это работает:

database = connection.cursor() 
for data in mylist: 
    command = " INSERT INTO my_table(my_value) VALUES %s" %data 
    database.execute(command) 
connection.commit() 

Однако я не уверен, если это правильный способ предотвратить SQL инъекции

Что бы я предпочел сделать, но это не будет работать:

database = connection.cursor() 
for data in mylist: 
    command = " INSERT INTO my_table(my_value) VALUES %s" 
    database.execute(command, (data)) 
connection.commit() 

Ошибка I получаете:

'str' object is not callable 

Я видел онлайн here, что это правильно, так почему обыкновение это работает

Answer 1

Очень сложно понять, что вы имеете в виду. Это моя попытка:

mylist = ['123456789','987654321','1234554321','9999999999'] 
mylist = [tuple(("('{0}')".format(s),)) for s in mylist] 
records_list_template = ','.join(['%s'] * len(mylist)) 
insert_query = ''' 
    insert into t (s) values 
    {0} 
'''.format(records_list_template) 
print cursor.mogrify(insert_query, mylist) 
cursor.execute(insert_query, mylist) 
conn.commit() 

Выход:

insert into t (s) values 
('(''123456789'')'),('(''987654321'')'),('(''1234554321'')'),('(''9999999999'')') 

вставленные кортежи:

select * from t; 
     s   
---------------- 
('123456789') 
('987654321') 
('1234554321') 
('9999999999') 

Answer 2

Вам нужно пройти в кортеже:

database.execute(command, (data,)) 

Примечание запятая! Вы также можете передать список:

database.execute(command, [data]) 

Поскольку у вас есть список значений для вставки, вы можете использовать cursor.executemany(), чтобы база данных применяются все значения в одном дыхании, но вы должны сделать каждый элемент в списке кортеж или список:

with connection: 
    with connection.cursor() as cursor: 
     command = "INSERT INTO my_table(my_value) VALUES %s" 
     cursor.executemany(command, ((data,) for data in mylist)) 

Обратите внимание, что вы можете использовать как соединение, так и курсор в качестве менеджеров контекста. Когда блок with для соединения завершается, транзакция автоматически совершается для вас, если только не произошло исключение, и в этот момент транзакция откатывается обратно. Менеджер контекста cursor закрывает курсор, освобождая ресурсы, связанные с курсором. См. psycopg2 documentation.