SQLite 中的动态表创建
在 SQLite 中,不直接支持变量表名称。不过,有一些技术可以在保证安全性的同时达到类似的效果。
避免构造函数
由于存在 SQL 风险,不建议使用字符串构造函数创建表名注入攻击。在构造表名称之前,请考虑使用清理函数从变量中删除特殊字符。
清理函数
下面提供了清理函数的示例:
def scrub(table_name):
return ''.join(chr for chr in table_name if chr.isalnum())此函数从表名称中过滤掉非字母数字字符。
用法
要创建具有动态确定名称的表,您可以使用以下方法:
table_name = scrub(self.name)
cursor.execute("CREATE TABLE StarFrame" + table_name + " (etc etc)")这可以确保表名免受潜在注入攻击。
以上是如何在 SQLite 中安全地创建动态表名?的详细内容。更多信息请关注PHP中文网其他相关文章!
