Tabellennamen sicher als Argument in Psycopg2 übergeben
In psycopg2 wird dringend davon abgeraten, Zeichenfolgenverkettung („select %s from %s where...“) zu verwenden, um den Tabellennamen als Parameter zu übergeben, da dies ein Sicherheitsrisiko darstellt. Erwägen Sie stattdessen die Verwendung des sichereren Moduls psycopg2.sql.
Das in psycopg2 Version 2.7 hinzugefügte SQL-Modul bietet eine Möglichkeit, SQL-Abfragen dynamisch zu generieren, wenn Tabellennamen dynamisch ausgewählt werden. Hier ist ein Beispiel:
from psycopg2 import sql
cur.execute(
sql.SQL("insert into {table} values (%s, %s)").format(table=sql.Identifier('my_table')),
[10, 20]
)Um Tabellen- oder Feldnamen darzustellen, verwenden Sie bitte Identifier anstelle von AsIs. Vermeiden Sie aus Sicherheitsgründen die Verwendung der Python-String-Verkettung oder String-Argument-Interpolation.
Das obige ist der detaillierte Inhalt vonWie kann ich Tabellennamen sicher als Parameter in Psycopg2 übergeben?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Was können TikTok-Freunde tun?
Handelsplattform für digitale Währungen
Einführung in die Bedeutung von += in der C-Sprache
Douyin-Level-Preisliste 1-75
Verwendung des übergeordneten Knotens
Einschaltkennwort in XP aufheben
So schneiden Sie lange Bilder auf Huawei-Handys
Software zur Website-Erstellung
So verwenden Sie die Frequenzfunktion
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
