Bagaimanakah Saya Boleh Melewati Nama Jadual dengan Selamat sebagai Parameter dalam Pertanyaan SQL psycopg2?

Meluluskan nama jadual sebagai parameter dalam psycopg2

Soalan:

Memastikan sintaks SQL yang betul adalah satu cabaran apabila melaksanakan pertanyaan SQL menggunakan nama jadual sebagai parameter.

Penyelesaian:

modul psycopg2.sql

Menurut dokumentasi rasmi, modul sql psycopg2 menyediakan cara selamat untuk menjana pertanyaan SQL secara dinamik. Ia memperkenalkan sintaks berikut:

<code>from psycopg2 import sql

cur.execute(sql.SQL("insert into {table} values (%s, %s)")
    .format(table=sql.Identifier('my_table')),
    [10, 20])</code>

Pendekatan ini memastikan sintaks SQL yang betul dan menghapuskan risiko serangan suntikan.

Nota: Kaedah AsIs tidak boleh digunakan untuk mewakili nama jadual atau medan. Sebaliknya, gunakan modul sql.

Amaran Keselamatan:

Pycopg2 memberi amaran keras terhadap penggunaan penggabungan rentetan Python atau interpolasi parameter rentetan untuk menghantar pembolehubah kepada pertanyaan SQL dan menyerlahkan potensi kelemahan keselamatan.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Melewati Nama Jadual dengan Selamat sebagai Parameter dalam Pertanyaan SQL psycopg2?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!