문자열 생성자 없이 SQLite에서 변수 테이블 이름을 사용할 수 있습니까?

문자열 생성자 없이 SQLite의 변수 테이블 이름

SQLite에서 취약한 문자열 생성자를 사용하지 않고 변수 테이블 이름을 사용할 수 있나요?

배경

SQLite 데이터베이스에 시뮬레이션 데이터를 분류하는 프로젝트를 생각해 보세요. 효율성과 유연성을 향상하려면 작은 데이터 하위 집합에 대해 큰 테이블을 쿼리하지 않도록 각 별에 대한 테이블이 필요합니다. 그러나 테이블 이름에 문자열 생성자를 사용하는 것은 SQL 주입 위험으로 인해 권장되지 않습니다.

질문

문자열 생성자를 활용하지 않고 변수를 테이블 이름으로 사용할 수 있습니까? , 유사:

cursor.execute("CREATE TABLE (?) (etc etc)", self.name)

답변

안타깝게도 SQLite는 테이블 이름에 대한 매개변수 대체를 허용하지 않습니다.

SQL 주입 완화

SQL 삽입 문제를 해결하려면 사용하기 전에 테이블 이름을 삭제하는 함수 구현을 고려하세요.

def sanitize_table_name(table_name):
    return ''.join(char for char in table_name if char.isalnum())

이 함수는 구두점, 공백과 같은 특수 문자를 제거하여 테이블 이름을 정리합니다. , 결과는 영숫자 문자열입니다.

사용 예

삭제된 테이블 이름을 사용하려면:

sanitized_name = sanitize_table_name(self.name)
cursor.execute(f"CREATE TABLE StarFrame{sanitized_name} (etc etc)")

위 내용은 문자열 생성자 없이 SQLite에서 변수 테이블 이름을 사용할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!