在 Psycopg2 中安全地将表名作为参数传递
在 psycopg2 中,强烈建议不要使用字符串连接 ('select %s from %s where...') 将表名作为参数传递,因为它存在安全风险。 相反,请考虑使用更安全的 psycopg2.sql 模块。
psycopg2 2.7 版本中添加的 sql 模块提供了一种在动态选择表名时动态生成 SQL 查询的方法。以下是一个示例:
<code class="language-python">from psycopg2 import sql
cur.execute(
sql.SQL("insert into {table} values (%s, %s)").format(table=sql.Identifier('my_table')),
[10, 20]
)</code>为了表示表名或字段名,请使用 Identifier 而非 AsIs。出于安全原因,请避免使用 Python 字符串连接或字符串参数插值。
以上是如何在 Psycopg2 中安全地传递表名称作为参数?的详细内容。更多信息请关注PHP中文网其他相关文章!
