ホームページ >バックエンド開発 >Python チュートリアル >SQLite で動的な名前を持つテーブルを安全に作成するにはどうすればよいですか?
SQLite の変数テーブル名
SQLite では、次の名前でテーブルを動的に作成する必要がある状況が発生することがあります。変数。この目的で文字列コンストラクターを使用するのが一般的ですが、SQL インジェクション攻撃の可能性があるため、セキュリティ上の懸念が生じます。
残念ながら、SQLite ではテーブル名のパラメーター置換は許可されていません。ただし、ベスト プラクティスでは、インジェクション攻撃を防ぐためにパラメータ置換を使用することが求められます。
代替解決策: 変数のスクラブ
テーブル名を直接パラメータ化できないため、実行可能な解決策は、テーブル名を含む変数を CREATE TABLE ステートメントに渡す前にスクラブすることです。
英数字を除くすべての文字を削除して変数をクリーンアップする関数を作成できます。たとえば、次の Python 関数は、句読点、空白、およびその他の英数字以外の文字を削除します。
def scrub(table_name): return ''.join( chr for chr in table_name if chr.isalnum() ) scrub('); drop tables --') # returns 'droptables'
この関数を使用すると、変数テーブル名でテーブルを作成し、悪意のある文字が確実に削除されます。 、インジェクション攻撃の防止:
table_name = 'StarFrame' + self.name cursor.execute('CREATE TABLE {} (etc etc)'.format(scrub(table_name)))
以上がSQLite で動的な名前を持つテーブルを安全に作成するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。