Използвайте list_of_ids
директно:
format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,
tuple(list_of_ids))
По този начин избягвате да се налага да се цитирате и избягвате всички видове sql инжекция.
Имайте предвид, че данните (list_of_ids
) отива директно към драйвера на mysql, като параметър (не в текста на заявката), така че няма инжектиране. Можете да оставите всякакви знаци, които искате в низа, няма нужда да премахвате или цитирате знаци.