问题:是否可以使用变量作为表名,而不必使用字符串构造函数?
<小时/>信息:
我现在正在开发一个项目,该项目对我的恒星模拟数据进行编目。为此,我将所有数据加载到 sqlite 数据库中。它运行得很好,但我决定为我的数据库添加更多的灵 active 、效率和可用性。我计划稍后将小行星添加到模拟中,并希望为每颗恒星都有一个表格。这样我就不必在每个太阳系中的 1-4k 的 20m 小行星表中查询。
有人告诉我使用字符串构造函数是不好的,因为它使我容易受到 SQL 注入(inject)攻击。虽然这在这里不是什么大问题,因为我是唯一有权访问这些数据库的人,但我想遵循最佳实践。这样,如果我做一个类似情况的项目并向公众开放,我就知道该怎么做。
目前我正在这样做:
cursor.execute("CREATE TABLE StarFrame"+self.name+" (etc etc)")
这可行,但我想做更多类似的事情:
cursor.execute("CREATE TABLE StarFrame(?) (etc etc)",self.name)
虽然我知道这可能是不可能的。虽然我会满足于类似的东西
cursor.execute("CREATE TABLE (?) (etc etc)",self.name)
如果这根本不可能,我会接受这个答案,但如果有人知道如何做到这一点,请告诉我。 :)
我正在用 python 编码。
最佳答案
不幸的是,表格不能成为参数替换的目标(我没有找到任何明确的来源,但我在一些网络论坛上看到过它)。
如果您担心注入(inject)(您可能应该担心),您可以编写一个在传递字符串之前清理字符串的函数。由于您只是在寻找表名,因此您应该安全地接受字母数字,去掉所有标点符号,例如 )(][;, 和空格。基本上,只需保留 A-Z a-z 0-9。
def scrub(table_name):
return ''.join( chr for chr in table_name if chr.isalnum() )
scrub('); drop tables --') # returns 'droptables'
关于python - sqlite中的变量表名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38455847/