psycopg2에서는 제공된 코드에 표시된 것처럼 동적 매개변수를 사용하여 쿼리를 작성하면 문제가 발생할 수 있습니다. 주어진 코드에서는 문자열 연결을 사용하지 않는 것이 좋습니다.
psycopg2 SQL 모듈 사용
Psycopg2는 버전 2.7에 도입된 SQL 모듈을 통해 솔루션을 제공합니다. 이 모듈은 테이블 이름 매개변수를 포함한 쿼리를 동적으로 생성하는 데 도움이 됩니다. 구문은 다음과 같습니다.
<code>from psycopg2 import sql
# 示例:使用动态表名插入数据
cur.execute(
sql.SQL("insert into {table} values (%s, %s)")
.format(table=sql.Identifier('my_table')),
[10, 20])</code>올바른 매개변수화의 중요성
Python 문자열 조작이나 문자열 매개변수 보간보다는 psycopg2의 SQL 모듈을 사용하는 것이 더 선호된다는 점에 유의하는 것이 중요합니다. 설명서에서는 이러한 방법을 사용하면 취약점이 발생하고 데이터베이스 무결성이 손상될 수 있으므로 사용하지 말라고 명시적으로 경고합니다.
SQL 모듈에 대한 자세한 내용은 공식 문서를 참조하세요: https://www.php.cn/link/9a0f86604fa1dc1686a0cad86a808a5c:
위 내용은 psycopg2에서 테이블 이름을 매개변수로 안전하게 전달하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
