SQLite で動的な名前を持つテーブルを安全に作成するにはどうすればよいですか?

SQLite の変数テーブル名

SQLite では、次の名前でテーブルを動的に作成する必要がある状況が発生することがあります。変数。この目的で文字列コンストラクターを使用するのが一般的ですが、SQL インジェクション攻撃の可能性があるため、セキュリティ上の懸念が生じます。

残念ながら、SQLite ではテーブル名のパラメーター置換は許可されていません。ただし、ベスト プラクティスでは、インジェクション攻撃を防ぐためにパラメータ置換を使用することが求められます。

代替解決策: 変数のスクラブ

テーブル名を直接パラメータ化できないため、実行可能な解決策は、テーブル名を含む変数を CREATE TABLE ステートメントに渡す前にスクラブすることです。

英数字を除くすべての文字を削除して変数をクリーンアップする関数を作成できます。たとえば、次の Python 関数は、句読点、空白、およびその他の英数字以外の文字を削除します。

def scrub(table_name):
    return ''.join( chr for chr in table_name if chr.isalnum() )

scrub('); drop tables --') # returns 'droptables'

この関数を使用すると、変数テーブル名でテーブルを作成し、悪意のある文字が確実に削除されます。 、インジェクション攻撃の防止:

table_name = 'StarFrame' + self.name
cursor.execute('CREATE TABLE {} (etc etc)'.format(scrub(table_name)))

以上がSQLite で動的な名前を持つテーブルを安全に作成するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。