問題:
使用表名作為參數執行 SQL 查詢時,確保 SQL 語法正確性是一項挑戰。
解:
psycopg2.sql 模組
根據官方文檔,psycopg2 的 sql 模組提供了一種安全的方式來動態產生 SQL 查詢。它引入了以下語法:
<code>from psycopg2 import sql
cur.execute(sql.SQL("insert into {table} values (%s, %s)")
.format(table=sql.Identifier('my_table')),
[10, 20])</code>這種方法確保了正確的 SQL 語法,並消除了注入攻擊的風險。
注意: 不應使用 AsIs 方法來表示表名或欄位名稱。而應該使用 sql 模組。
安全警告:
Pycopg2 強烈警告不要使用 Python 字串連接或字串參數插值將變數傳遞給 SQL 查詢,並強調了潛在的安全漏洞。
以上是如何在 psycopg2 SQL 查詢中安全地傳遞表名作為參數?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
