如何在 Psycopg2 中安全地传递表名称作为参数？

在 Psycopg2 中安全地将表名作为参数传递

在 psycopg2 中，强烈建议不要使用字符串连接 ('select %s from %s where...') 将表名作为参数传递，因为它存在安全风险。 相反，请考虑使用更安全的 psycopg2.sql 模块。

psycopg2 2.7 版本中添加的 sql 模块提供了一种在动态选择表名时动态生成 SQL 查询的方法。以下是一个示例：

<code class="language-python">from psycopg2 import sql

cur.execute(
    sql.SQL("insert into {table} values (%s, %s)").format(table=sql.Identifier('my_table')),
    [10, 20]
)</code>

为了表示表名或字段名，请使用 Identifier 而非 AsIs。出于安全原因，请避免使用 Python 字符串连接或字符串参数插值。

以上是如何在 Psycopg2 中安全地传递表名称作为参数？的详细内容。更多信息请关注PHP中文网其他相关文章！