Maison > Article > développement back-end > Puis-je utiliser une variable comme nom de table dans SQLite sans manipulation de chaîne ?
Puis-je utiliser une variable comme nom de table dans SQLite sans manipulation de chaîne ?
- Barbara Streisandoriginal
- 2024-11-08 14:30:02194parcourir
Nom de table variable dans SQLite
Q : Est-il possible d'utiliser une variable comme nom de table dans SQLite sans recourir à une chaîne constructeurs ?
A1 : Malheureusement, non. Les tables ne peuvent pas être la cible d'une substitution de paramètres dans SQLite.
A2 : Pour atténuer les risques d'injection, envisagez d'utiliser une fonction de nettoyage pour supprimer les caractères potentiellement dangereux du nom de la table. Par exemple, la fonction suivante peut être utilisée pour supprimer les caractères non alphanumériques :
def scrub(table_name):
return ''.join(chr for chr in table_name if chr.isalnum())
Utilisation :
scrub('); drop tables --') # returns 'droptables'Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Articles Liés
Voir plus- Comment réécrire plusieurs lignes dans la console pour la modification dynamique du texte ?
- Comment simuler le passage d'un entier par référence en Python ?
- Comment puis-je personnaliser la sortie de la fonction os.walk() de Python pour créer une liste de répertoires imbriqués ?
- Comment puis-je recueillir les entrées des utilisateurs en Python sans avoir besoin de la touche Entrée ?
- Comment convertir une représentation sous forme de chaîne d'une liste en un objet de liste en Python ?