Question :
Garantir une syntaxe SQL correcte est un défi lors de l'exécution de requêtes SQL utilisant des noms de table comme paramètres.
Solution :
module psycopg2.sql
Selon la documentation officielle, le module sql de psycopg2 fournit un moyen sûr de générer dynamiquement des requêtes SQL. Il introduit la syntaxe suivante :
<code>from psycopg2 import sql
cur.execute(sql.SQL("insert into {table} values (%s, %s)")
.format(table=sql.Identifier('my_table')),
[10, 20])</code>Cette approche garantit une syntaxe SQL correcte et élimine le risque d'attaques par injection.
Remarque : La méthode AsIs ne doit pas être utilisée pour représenter des noms de tables ou de champs. Utilisez plutôt le module SQL.
Avertissement de sécurité :
Pycopg2 met fortement en garde contre l'utilisation de la concaténation de chaînes Python ou de l'interpolation de paramètres de chaîne pour transmettre des variables aux requêtes SQL et met en évidence les vulnérabilités de sécurité potentielles.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Tutoriel sur l'achat et la vente de Bitcoin sur Huobi.com
Comment activer le serveur TFTP
Formule de la loi de conservation de l'énergie mécanique
Quel est le principe de fonctionnement et le processus de mybatis
De quels mécanismes de mise en cache dispose PHP ?
Comment désactiver le centre de sécurité Windows
Quelle est la différence entre ibatis et mybatis
Comment vérifier les enregistrements d'appels supprimés
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
