Soalan:
Memastikan sintaks SQL yang betul adalah satu cabaran apabila melaksanakan pertanyaan SQL menggunakan nama jadual sebagai parameter.
Penyelesaian:
modul psycopg2.sql
Menurut dokumentasi rasmi, modul sql psycopg2 menyediakan cara selamat untuk menjana pertanyaan SQL secara dinamik. Ia memperkenalkan sintaks berikut:
<code>from psycopg2 import sql
cur.execute(sql.SQL("insert into {table} values (%s, %s)")
.format(table=sql.Identifier('my_table')),
[10, 20])</code>Pendekatan ini memastikan sintaks SQL yang betul dan menghapuskan risiko serangan suntikan.
Nota: Kaedah AsIs tidak boleh digunakan untuk mewakili nama jadual atau medan. Sebaliknya, gunakan modul sql.
Amaran Keselamatan:
Pycopg2 memberi amaran keras terhadap penggunaan penggabungan rentetan Python atau interpolasi parameter rentetan untuk menghantar pembolehubah kepada pertanyaan SQL dan menyerlahkan potensi kelemahan keselamatan.
Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Melewati Nama Jadual dengan Selamat sebagai Parameter dalam Pertanyaan SQL psycopg2?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Terdapat beberapa fungsi output dan input dalam bahasa C
Apakah elemen tersembunyi dalam jquery
Fungsi arahan pengguna bersih
Perbezaan antara tekan kekunci dan kekunci
Apakah pemalam komposer?
Kedudukan penyedia perkhidmatan CDN asing
Penjelasan terperinci tentang penggunaan fungsi substr oracle
vscode menjalankan bahasa c
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
