可以在没有字符串构造函数的 SQLite 中使用变量表名称吗？

没有字符串构造函数的 SQLite 中的变量表名称

在 SQLite 中，可以在不诉诸易受攻击的字符串的情况下使用变量表名称构造函数？

背景

考虑一个在 SQLite 数据库中编目模拟数据的项目。为了提高效率和灵活性，每个星都需要表，以避免在大表中查询一小部分数据。但是，由于 SQL 注入风险，不鼓励使用字符串构造函数作为表名。

问题

是否可以在不使用字符串构造函数的情况下使用变量作为表名， 类似的to:

cursor.execute("CREATE TABLE (?) (etc etc)", self.name)

回答

不幸的是，SQLite 不允许参数替换表名。

缓解 SQL 注入

要解决 SQL 注入问题，请考虑实现一个函数在使用前清理表名称：

def sanitize_table_name(table_name):
    return ''.join(char for char in table_name if char.isalnum())

此函数通过删除特殊字符（例如标点符号和空格）来清理表名称，从而生成字母数字字符串。

示例用法

使用已消毒的桌子姓名：

sanitized_name = sanitize_table_name(self.name)
cursor.execute(f"CREATE TABLE StarFrame{sanitized_name} (etc etc)")

以上是可以在没有字符串构造函数的 SQLite 中使用变量表名称吗？的详细内容。更多信息请关注PHP中文网其他相关文章！