SQLite 中的变量表名称
问:是否可以在 SQLite 中使用变量作为表的名称,而无需借助字符串构造函数?
A1:不幸的是,没有。表不能成为 SQLite 中参数替换的目标。
A2:为了降低注入风险,请考虑使用清理函数从表名称中删除潜在有害的字符。例如,以下函数可用于删除非字母数字字符:
def scrub(table_name):
return ''.join(chr for chr in table_name if chr.isalnum())用法:
scrub('); drop tables --') # returns 'droptables'以上是我可以在 SQLite 中使用变量作为表名而不进行字符串操作吗?的详细内容。更多信息请关注PHP中文网其他相关文章!
