一个幼稚的解决方案是遍历
parameters列表,并在每个元素的开头和结尾加上引号:
(', '.join('"' + item + '"' for item in parameters))注意:这容易受到SQL注入的影响(无论是巧合还是故意的)。更好的解决方案是让数据库引用并插入以下值:
query = "SELECt * FROM foo WHERe bar IN (%s)" % ','.join('?' * len(params))cursor.execute(query, params)更容易阅读和正确处理报价。
