如何在 SQLite 中安全地创建动态表？

SQLite 中的动态表创建

在数据库管理中，灵活性和效率至关重要。使用 SQLite 时，出现了问题：是否可以使用变量表名而不借助字符串构造函数（这种做法容易受到 SQL 注入攻击）？

在这种情况下，目标是为中的每个星创建一个表星星模拟。每张桌子都应该根据明星的名字来命名。最初，该方法涉及使用字符串构造函数：

cursor.execute("CREATE TABLE StarFrame"+self.name+" (etc etc)")

但是，这并不理想。为了解决这个问题，可以考虑使用参数：

cursor.execute("CREATE TABLE StarFrame(?) (etc etc)",self.name)

不幸的是，表不能作为参数替换的目标。因此，这种方法是不可行的。

相反，为了确保防止注入攻击，可以使用清理功能。此函数过滤掉特殊字符并确保表名称仅包含字母数字字符：

def scrub(table_name):
    return ''.join( chr for chr in table_name if chr.isalnum() )

table_name = scrub(self.name)
cursor.execute(f"CREATE TABLE StarFrame{table_name} (etc etc)")

此方法允许动态创建表，同时防范安全威胁。通过消除潜在的注入向量，它可以维护数据库的完整性并防止恶意行为者利用应用程序。

以上是如何在 SQLite 中安全地创建动态表？的详细内容。更多信息请关注PHP中文网其他相关文章！