Bei der Datenbankverwaltung stehen Flexibilität und Effizienz an erster Stelle. Bei der Arbeit mit SQLite stellt sich die Frage: Können variable Tabellennamen verwendet werden, ohne auf String-Konstruktoren zurückzugreifen, eine Praxis, die anfällig für SQL-Injection-Angriffe ist?
In diesem Fall besteht das Ziel darin, für jeden Stern in eine Tabelle zu erstellen eine Sternensimulation. Jeder Tisch sollte nach dem Namen des Sterns benannt werden. Der Ansatz beinhaltet zunächst die Verwendung von String-Konstruktoren:
cursor.execute("CREATE TABLE StarFrame"+self.name+" (etc etc)")Dies ist jedoch nicht ideal. Um das Problem zu lösen, könnte man die Verwendung von Parametern in Betracht ziehen:
cursor.execute("CREATE TABLE StarFrame(?) (etc etc)",self.name)Leider können Tabellen nicht das Ziel der Parameterersetzung sein. Daher ist dieser Ansatz nicht umsetzbar.
Um den Schutz vor Injektionsangriffen zu gewährleisten, kann stattdessen eine Desinfektionsfunktion eingesetzt werden. Diese Funktion filtert Sonderzeichen heraus und stellt sicher, dass der Tabellenname nur alphanumerische Zeichen enthält:
def scrub(table_name):
return ''.join( chr for chr in table_name if chr.isalnum() )
table_name = scrub(self.name)
cursor.execute(f"CREATE TABLE StarFrame{table_name} (etc etc)")Dieser Ansatz ermöglicht eine dynamische Tabellenerstellung und schützt gleichzeitig vor Sicherheitsbedrohungen. Durch die Entfernung potenzieller Injektionsvektoren bleibt die Datenbankintegrität erhalten und verhindert, dass böswillige Akteure die Anwendung ausnutzen.
Das obige ist der detaillierte Inhalt vonWie erstelle ich sicher dynamische Tabellen in SQLite?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
