没有字符串构造函数的 SQLite 中的变量表名称
在 SQLite 中,可以在不诉诸易受攻击的字符串的情况下使用变量表名称构造函数?
背景
考虑一个在 SQLite 数据库中编目模拟数据的项目。为了提高效率和灵活性,每个星都需要表,以避免在大表中查询一小部分数据。但是,由于 SQL 注入风险,不鼓励使用字符串构造函数作为表名。
问题
是否可以在不使用字符串构造函数的情况下使用变量作为表名, 类似的to:
cursor.execute("CREATE TABLE (?) (etc etc)", self.name)回答
不幸的是,SQLite 不允许参数替换表名。
缓解 SQL 注入
要解决 SQL 注入问题,请考虑实现一个函数在使用前清理表名称:
def sanitize_table_name(table_name):
return ''.join(char for char in table_name if char.isalnum())此函数通过删除特殊字符(例如标点符号和空格)来清理表名称,从而生成字母数字字符串。
示例用法
使用已消毒的桌子姓名:
sanitized_name = sanitize_table_name(self.name)
cursor.execute(f"CREATE TABLE StarFrame{sanitized_name} (etc etc)")以上是可以在没有字符串构造函数的 SQLite 中使用变量表名称吗?的详细内容。更多信息请关注PHP中文网其他相关文章!
