Können Sie Variablentabellennamen in SQLite ohne String-Konstruktoren verwenden?

Variablentabellennamen in SQLite ohne String-Konstruktoren

Können in SQLite Variablentabellennamen verwendet werden, ohne auf anfällige String-Konstruktoren zurückzugreifen?

Hintergrund

Stellen Sie sich ein Projekt vor, das Simulationsdaten in einer SQLite-Datenbank katalogisiert. Um die Effizienz und Flexibilität zu verbessern, sind Tabellen für jeden Stern wünschenswert, um zu vermeiden, dass eine große Tabelle nach einer kleinen Teilmenge von Daten abgefragt wird. Von der Verwendung von String-Konstruktoren für Tabellennamen wird jedoch aufgrund der SQL-Injection-Risiken abgeraten.

Frage

Ist es möglich, eine Variable als Tabellennamen zu verwenden, ohne String-Konstruktoren zu verwenden? , ähnlich wie:

cursor.execute("CREATE TABLE (?) (etc etc)", self.name)

Antwort

Leider erlaubt SQLite keine Parameterersetzung für Tabellennamen.

Abschwächung der SQL-Injection

Um Bedenken hinsichtlich der SQL-Injection auszuräumen, sollten Sie die Implementierung einer Funktion zum Bereinigen von Tabellennamen vor der Verwendung in Betracht ziehen:

def sanitize_table_name(table_name):
    return ''.join(char for char in table_name if char.isalnum())

Diese Funktion bereinigt Tabellennamen, indem sie Sonderzeichen wie Satzzeichen und Leerzeichen entfernt , was zu alphanumerischen Zeichenfolgen führt.

Beispielverwendung

So verwenden Sie den bereinigten Tabellennamen:

sanitized_name = sanitize_table_name(self.name)
cursor.execute(f"CREATE TABLE StarFrame{sanitized_name} (etc etc)")

Das obige ist der detaillierte Inhalt vonKönnen Sie Variablentabellennamen in SQLite ohne String-Konstruktoren verwenden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!