问题:是否可以在不使用字符串构造函数的情况下将变量用作表名?
信息:
我现在正在研究一个项目,该项目对来自我的恒星模拟的数据进行分类。为此,我将所有数据加载到sqlite数据库中。它工作得很好,但是我决定为数据库增加更多的灵活性,效率和可用性。我计划稍后在模拟中添加小行星,并希望为每个恒星提供一张表格。这样,我就不必查询每个太阳系中1-4k的20m个小行星的表。
有人告诉我使用字符串构造函数是不好的,因为它使我容易受到SQL注入攻击。虽然这并不是什么大问题,因为我是唯一有权访问这些数据库的人,但我想遵循最佳实践。而且通过这种方式,如果我在向公众开放的情况下进行类似的项目,我也知道该怎么做。
目前,我正在这样做:
cursor.execute("CREATE TABLE StarFrame"+self.name+" (etc etc)")
这可行,但是我想做更多类似的事情:
cursor.execute("CREATE TABLE StarFrame(?) (etc etc)",self.name)
尽管我知道这可能是不可能的。虽然我会满足于
cursor.execute("CREATE TABLE (?) (etc etc)",self.name)
如果根本不可能,我将接受该答案,但是如果有人知道执行此操作的方法,请告知。:)
我在用python编码。
不幸的是,表不能成为参数替换的目标(我没有找到任何确定的来源,但是我已经在一些网络论坛上看到了)。
如果你担心注入(可能应该这样做),则可以编写一个在传递字符串之前清除字符串的函数。由于你仅在查找表名,因此仅接受字母数字,删除所有标点符号(例如)(][;,和空格)就应该是安全的。基本上,保持即可A-Z a-z 0-9。
def scrub(table_name):
return ''.join( chr for chr in table_name if chr.isalnum() )
scrub('); drop tables --') # returns 'droptables'
问题内容: 我想使用运行时之前不知道的字段名称过滤器来调用查询…不确定如何构造变量名称…或者我很累。 如果funct()返回的名称等于 不知道该怎么做… 问题答案: 您可以创建字典,设置参数,然后通过解压缩字典作为关键字参数将其传递给函数:
问题内容: 我在python中有此代码。 我将从这样的命令行运行此脚本 因此,我需要一种使len使用列表而不是变量的方法,我只想在var中给出列表的名称。 我知道在这个例子中我可以做 但是我的脚本上有13个列表,我需要一种方法,可以通过在命令行上输入的名称来引用它们。 问题答案: 尽管这在Python中是完全可能的,但不是必需的。最好的解决方案是不执行此操作,而是使用字典。 您会注意到脚本中有13
问题内容: 我正在尝试执行此查询: 这将产生以下错误: Msg 1087,第16级,状态1,第5行 必须声明表变量“ @tablename”。 动态填充表名的正确方法是什么? 问题答案: 对于静态查询(如您的问题中的查询),表名和列名必须是静态的。 对于动态查询,应动态生成完整的SQL,并使用sp_executesql执行它。 这是一个脚本示例,用于比较不同数据库的相同表之间的数据: 静态查询:
问题内容: 如何使用列表中的名称创建新变量?这个: 当然不行。我该怎么办? 我想做这个: 问题答案: 我认为更适合此目的: 但是,如果您仍然想即时创建变量,则可以使用:
1、变量的创建和赋值 在 Python 程序中,变量是用一个变量名表示,可以是任意数据类型,变量名必须是大小写英文、数字和下划线(_)的组合,且不能用数字开头,比如: a=88 这里的 a 就是一个变量,代表一个整数,注意一点是 Python 是不用声明数据类型的。在 Python 中 = 是赋值语句,跟其他的编程语言也是一样的,因为 Python 定义变量时不需要声明数据类型,因此可以把任意的
我已经将完全相同的数据库表从MYSQL移到SQLite。以下查询在MYSQL中工作 但在SQLITE中,我得到一个“Error near'”。语法错误。使用cast到c的表别名,查询工作良好: Sqlite不喜欢查询的第一个版本的原因是什么?