Bolehkah Anda Menggunakan Nama Jadual Pembolehubah dalam SQLite Tanpa Pembina Rentetan?

Nama Jadual Pembolehubah dalam SQLite tanpa Pembina Rentetan

Dalam SQLite, bolehkah nama jadual berubah digunakan tanpa menggunakan rentetan yang terdedah pembina?

Latar Belakang

Pertimbangkan projek pengkatalogan data simulasi dalam pangkalan data SQLite. Untuk meningkatkan kecekapan dan fleksibiliti, jadual dikehendaki untuk setiap bintang untuk mengelakkan pertanyaan jadual besar untuk subset kecil data. Walau bagaimanapun, menggunakan pembina rentetan untuk nama jadual adalah tidak digalakkan kerana risiko suntikan SQL.

Soalan

Adakah mungkin untuk menggunakan pembolehubah sebagai nama jadual tanpa menggunakan pembina rentetan , serupa kepada:

cursor.execute("CREATE TABLE (?) (etc etc)", self.name)

Jawapan

Malangnya, SQLite tidak membenarkan penggantian parameter untuk nama jadual.

Mengurangkan Suntikan SQL

Untuk menangani kebimbangan suntikan SQL, pertimbangkan untuk melaksanakan fungsi untuk membersihkan meja nama sebelum digunakan:

def sanitize_table_name(table_name):
    return ''.join(char for char in table_name if char.isalnum())

Fungsi ini membersihkan nama jadual dengan mengalih keluar aksara khas, seperti tanda baca dan ruang putih, menghasilkan rentetan alfanumerik.

Contoh Penggunaan

Untuk menggunakan nama meja yang telah dibersihkan:

sanitized_name = sanitize_table_name(self.name)
cursor.execute(f"CREATE TABLE StarFrame{sanitized_name} (etc etc)")

Atas ialah kandungan terperinci Bolehkah Anda Menggunakan Nama Jadual Pembolehubah dalam SQLite Tanpa Pembina Rentetan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!