问题:是否可以使用变量作为表名而不必使用字符串构造函数来执行此操作?
信息:
我正在开展一个项目,目的是对我的星模拟数据进行编目。为此,我将所有数据加载到sqlite数据库中。它工作得很好,但我决定为我的数据库增加更多的灵活性,效率和可用性。我计划稍后在模拟中添加小行星,并希望每个星都有一个表格。这样我就不必在每个太阳系中查询一个20m的某些小行星的表格。
我被告知使用字符串构造函数很糟糕,因为它让我容易受到SQL注入攻击。虽然这不是什么大问题,因为我是唯一可以访问这些dbs的人,但我想遵循最佳实践。而且这种方式如果我做一个类似于公众开放的项目的项目,我知道该怎么做。
目前我这样做:
cursor.execute("CREATE TABLE StarFrame"+self.name+" (etc etc)")
这有效,但我想做更多的事情:
cursor.execute("CREATE TABLE StarFrame(?) (etc etc)",self.name)
虽然我明白这可能是不可能的。虽然我愿意接受类似的东西
cursor.execute("CREATE TABLE (?) (etc etc)",self.name)
如果这根本不可能,我会接受这个答案,但如果有人知道如何做到这一点,请告诉我。 :)
我在python中编码。
不幸的是,表格不能成为参数替换的目标(我没有找到任何明确的来源,但我在一些网络论坛上看到过)。
如果您担心注入(您可能应该这样做),您可以编写一个在传递字符串之前清除字符串的函数。由于您只是在寻找一个表名,所以您应该安全地接受字母数字,删除所有标点符号,例如)(][;,
和空格。基本上,只要保持A-Z a-z 0-9
。
def scrub(table_name):
return ''.join( chr for chr in table_name if chr.isalnum() )
scrub('); drop tables --') # returns 'droptables'
我不会将数据分成多个表。如果在星形列上创建索引,则无法有效地访问数据。
对于寻找将表作为变量的方法的人,我从另一个回答相同的问题here得到了这个:
它说以下和它的工作原理。这一切都是从mhawke引用的:
您不能对表名使用参数替换。您需要自己将表名添加到查询字符串中。像这样的东西:
query = 'SELECT * FROM {}'.format(table)
c.execute(query)
需要注意的一件事是表名的值的来源。如果它来自不受信任的来源,例如一个用户,那么您需要验证表名以避免潜在的SQL注入攻击。一种方法可能是构造一个参数化查询,从DB目录中查找表名:
import sqlite3
def exists_table(db, name):
query = "SELECT 1 FROM sqlite_master WHERE type='table' and name = ?"
return db.execute(query, (name,)).fetchone() is not None
尝试使用字符串格式:
sql_cmd = '''CREATE TABLE {}(id, column1, column2, column2)'''.format(
'table_name')
db.execute(sql_cmd)
用你的愿望取代'table_name'
。
你可以使用像这样的conn = sqlite3.connect()
createTable = '''CREATE TABLE %s (# );''' %dateNow)
conn.execute(createTable)
基本上,如果我们想根据现在的日期将数据分成几个表,例如,您希望根据日期监控系统。
createTable ='''CREATE TABLE%s(#);'''%dateNow)表示您创建一个具有变量dateNow的表,根据您的编码语言,您可以将dateNow定义为变量以从编码中检索当前日期语言。
正如在其他答案中所说的那样,“表不能成为参数替换的目标”,但是如果你发现自己处于一个没有选项的绑定中,这里有一种测试提供的表名是否有效的方法。 注意:我已经把桌子名称变成了真正的猪,试图覆盖所有的基础。
import sys
import sqlite3
def delim(s):
delims="\"'`"
use_delim = []
for d in delims:
if d not in s:
use_delim.append(d)
return use_delim
db_name = "some.db"
db = sqlite3.connect(db_name)
mycursor = db.cursor()
table = 'so""m ][ `etable'
delimiters = delim(table)
if len(delimiters) < 1:
print "The name of the database will not allow this!"
sys.exit()
use_delimiter = delimiters[0]
print "Using delimiter ", use_delimiter
mycursor.execute('SELECT name FROM sqlite_master where (name = ?)', [table])
row = mycursor.fetchall()
valid_table = False
if row:
print (table,"table name verified")
valid_table = True
else:
print (table,"Table name not in database", db_name)
if valid_table:
try:
mycursor.execute('insert into ' +use_delimiter+ table +use_delimiter+ ' (my_data,my_column_name) values (?,?) ',(1,"Name"));
db.commit()
except Exception as e:
print "Error:", str(e)
try:
mycursor.execute('UPDATE ' +use_delimiter+ table +use_delimiter+ ' set my_column_name = ? where my_data = ?', ["ReNamed",1])
db.commit()
except Exception as e:
print "Error:", str(e)
db.close()
您可以将字符串作为SQL命令传递:
import sqlite3
conn = sqlite3.connect('db.db')
c = conn.cursor()
tablename, field_data = 'some_table','some_data'
query = 'SELECT * FROM '+tablename+' WHERE column1=\"'+field_data+"\""
c.execute(query)