SQLite で文字列コンストラクターなしで変数テーブル名を使用できますか?

文字列コンストラクターを使用しない SQLite の変数テーブル名

SQLite では、脆弱な文字列に頼らずに変数テーブル名を使用できますかconstructors?

背景

SQLite データベース内のシミュレーション データをカタログ化するプロジェクトを考えてみましょう。効率と柔軟性を向上させるには、データの小さなサブセットに対して大きなテーブルをクエリすることを避けるために、スターごとにテーブルが必要です。ただし、SQL インジェクションのリスクがあるため、テーブル名に文字列コンストラクターを使用することはお勧めできません。

質問

文字列コンストラクターを利用せずに変数をテーブル名として使用することは可能ですか? 、 同族のto:

cursor.execute("CREATE TABLE (?) (etc etc)", self.name)

回答

残念ながら、SQLite ではテーブル名のパラメータ置換は許可されていません。

SQL インジェクションの軽減

SQL インジェクションの問題に対処するには、実装を検討してください。使用前にテーブル名をサニタイズする関数:

def sanitize_table_name(table_name):
    return ''.join(char for char in table_name if char.isalnum())

この関数は、句読点や空白などの特殊文字を削除してテーブル名をクリーンアップし、英数字の文字列を生成します。

使用例

消毒されたテーブルを使用するには名前:

sanitized_name = sanitize_table_name(self.name)
cursor.execute(f"CREATE TABLE StarFrame{sanitized_name} (etc etc)")

以上がSQLite で文字列コンストラクターなしで変数テーブル名を使用できますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。