3
Zum Einsetzen in eine Tabelle, der sichere Weg istsichere Art und Weise sqlite3 Tisch in Python
c.execute("insert into table (?,?,?,...)",my_tuple)
zu schaffen, aber wie kann man einen Tisch sicher schaffen? Ich habe so etwas wie dies versucht:
conn = sqlite3.connect(database)
c = conn.cursor()
cmd = "create table ? (? text,? text)"
my_tuple = ("my_table","first","second")
c.execute(cmd,my_tuple)
aber ich bekomme Fehler wie folgt aus:
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
sqlite3.OperationalError: near "?": syntax error
Sollte ich nur eine Zeichenfolge in Python zusammenstellen und es an SQLite werfen die Tabelle zu erstellen?
Ich nehme an, Sie aus Benutzereingaben eine Tabelle zu erstellen sind versuchen, nicht wahr? Seufz, keine Ahnung, wenn das eine gute Idee ist. Ich nehme an, Sie sollten die Eingabe anhand der Standards für Tabellennamen und Spaltennamen validieren. Ich nehme auch an, dass Sie die Verwendung eingeschränkter SQL-Befehle blockieren müssen, damit eine Tabelle mit dem Namen "create" nicht verwendet wird. Macht Sinn? –
execute() verwende nur das "?" Ausdruck auf Werten, deshalb ist es sicher. Wenn Sie zulassen, dass Benutzer Tabellen und Felder benennen, die nicht mehr sicher sind. Wie auch immer, du könntest ein Präfix in der Eingabe hinzufügen. – Kabie
Huh? Ich verstehe nicht, warum der Schöpfer und der Betrachter jemals unterschiedliche Vertrauensstufen haben sollten. Wenn der Sicherheitsmechanismus bereits vorhanden ist, um Code zu überprüfen, der an sqlite übergeben wird, würde ich denken, dass er für andere Arten von Befehlen wie create zugänglich sein sollte. Ich mache mir in meiner winzigen Anwendung keine Gedanken darüber, ich kann mir nicht vorstellen, wie man die Erstellung von Tabellen ständig mit ihrem Code in Verbindung bringen kann. Ich versuche nur, lustige CSV-Dateien zu importieren. Vielleicht gibt es einen besseren Weg? – mathtick