SQLite 中的变量表名称

2024-12-31 08:37:00
admin
原创
34
摘要:问题描述:我目前正在做一个项目,该项目对我的恒星模拟数据进行分类。为此,我将把所有数据加载到 sqlite 数据库中。它运行良好,但我决定为我的数据库增加更多的灵活性、效率和可用性。我计划稍后将行星添加到模拟中,并希望为每颗恒星建立一个表。这样,我就不必为每个太阳系中的 1-4k 个行星查询一个包含 20m ...

问题描述:

我目前正在做一个项目,该项目对我的恒星模拟数据进行分类。为此,我将把所有数据加载到 sqlite 数据库中。它运行良好,但我决定为我的数据库增加更多的灵活性、效率和可用性。我计划稍后将行星添加到模拟中,并希望为每颗恒星建立一个表。这样,我就不必为每个太阳系中的 1-4k 个行星查询一个包含 20m 个行星的表。

有人告诉我使用字符串构造函数是不好的,因为它会让我容易受到 SQL 注入攻击。虽然这在这里不是什么大问题,因为我是唯一有权访问这些数据库的人,但我想遵循最佳实践。

目前我正在这样做:

cursor.execute("CREATE TABLE StarFrame"+self.name+" (etc etc)")

这可行,但我想做更多的事情:

cursor.execute("CREATE TABLE StarFrame(?) (etc etc)",self.name)

虽然我知道这可能是不可能的。虽然我会满足于类似

cursor.execute("CREATE TABLE (?) (etc etc)",self.name)

是否可以使用变量作为表名而不必使用字符串构造函数来执行此操作?

解决方案 1:

不幸的是,表不能成为参数替换的目标(我没有找到任何明确的来源,但我在一些网络论坛上看到过)。

如果您担心注入(您可能应该担心),您可以编写一个函数在传递字符串之前清理它。由于您只是在寻找表名,因此您应该安全地接受字母数字,删除所有标点符号(例如)(][;,和空格)。基本上,只需保留A-Z a-z 0-9

def scrub(table_name):
    return ''.join( chr for chr in table_name if chr.isalnum() )

scrub('); drop tables --')  # returns 'droptables'

解决方案 2:

对于那些正在寻找将表作为变量的方法的人来说,我从这里对同一问题的另一个答复中得到了这个:

它说了以下内容并且有效。 全部引自mhawke

您不能使用参数替换表名。您需要自己将表名添加到查询字符串中。如下所示:

query = 'SELECT * FROM {}'.format(table)
c.execute(query)

需要注意的一件事是表名值的来源。如果该值来自不受信任的来源(例如用户),则需要验证表名以避免潜在的 SQL 注入攻击。一种方法可能是构建一个参数化查询,从 DB 目录中查找表名:

import sqlite3

def exists_table(db, name):
    query = "SELECT 1 FROM sqlite_master WHERE type='table' and name = ?"
    return db.execute(query, (name,)).fetchone() is not None

解决方案 3:

我不会将数据分成多个表。如果您在星号列上创建索引,则高效访问数据不会遇到任何问题。

解决方案 4:

尝试使用字符串格式:

sql_cmd = '''CREATE TABLE {}(id, column1, column2, column2)'''.format(
            'table_name')
db.execute(sql_cmd)

'table_name'按照您的意愿进行替换。

解决方案 5:

正如其他答案中所说,“表不能成为参数替换的目标”,但如果您发现自己陷入了别无选择的困境,这里有一种方法可以测试所提供的表名是否有效。

注意:我把表名改成了真猪,试图涵盖所有基础。

import sys
import sqlite3
def delim(s):
  delims="\"'`"
  use_delim = []
  for d in delims:
   if d not in s:
    use_delim.append(d)
  return use_delim

db_name = "some.db"
db = sqlite3.connect(db_name)
mycursor = db.cursor()
table = 'so""m ][ `etable'
delimiters = delim(table)
if len(delimiters) < 1:
    print "The name of the database will not allow this!"
    sys.exit()
use_delimiter = delimiters[0]
print "Using delimiter ", use_delimiter
mycursor.execute('SELECT name FROM sqlite_master where (name = ?)', [table])
row = mycursor.fetchall()
valid_table = False
if row:
    print (table,"table name verified")
    valid_table = True
else:
    print (table,"Table name not in database", db_name)

if valid_table:
    try:
        mycursor.execute('insert into ' +use_delimiter+ table +use_delimiter+ ' (my_data,my_column_name) values (?,?) ',(1,"Name"));
        db.commit()
    except Exception as e:
        print "Error:", str(e)
    try:
        mycursor.execute('UPDATE ' +use_delimiter+ table +use_delimiter+ ' set my_column_name = ? where my_data = ?', ["ReNamed",1])
        db.commit()
    except Exception as e:
        print "Error:", str(e)
db.close()

解决方案 6:

你可以使用类似这样的东西
`conn = sqlite3.connect()
createTable = '''CREATE TABLE %s (# );''' %dateNow)
conn.execute(createTable)`

基本上,如果我们想根据当前的日期将数据分成几个表,例如,您想根据日期监控一个系统。

createTable = '''CREATE TABLE %s (# );''' %dateNow) 意味着您创建一个带有变量 dateNow 的表,根据您的编码语言,您可以将 dateNow 定义为变量以从您的编码语言中检索当前日期。

解决方案 7:

为了避免硬编码表名,我使用了:

table = "sometable"
c = conn.cursor()

c.execute('''CREATE TABLE IF NOT EXISTS {} (
                importantdate DATE,
                somename VARCHAR,
                )'''.format(table))

c.execute('''INSERT INTO {} VALUES (?, ?)'''.format(table),
                  (datetime.strftime(datetime.today(), "%Y-%m-%d"),
                   myname))

解决方案 8:

您可以将查询保存在 .sql 或 txt 文件中,并使用 open().replace() 方法在查询的任何部分使用变量。我是长期读者,但第一次发帖,所以如果这里有什么不对的地方,我深表歉意。

```SQL in yoursql.sql```
Sel *
From yourdbschema.tablenm


```SQL to run```
tablenm = 'yourtablename'

cur = connect.cursor() 

query = cur.execute(open(file = yoursql.sql).read().replace('tablenm',tablenm))

运行代码片段Hide results展开片段

解决方案 9:

那么 f-Strings 怎么样,可读性更强。

table = "myTableName"
condition = "ID = 5"
sql = f'''SELECT * FROM {table} WHERE {condition}'''

解决方案 10:

您可以将字符串作为 SQL 命令传递:

import sqlite3
conn = sqlite3.connect('db.db')
c = conn.cursor()
tablename, field_data = 'some_table','some_data'
query = 'SELECT * FROM '+tablename+' WHERE column1=\"'+field_data+"\""
c.execute(query)
相关推荐
置顶 2024年20款好用的项目管理软件推荐,项目管理提效的20个工具和技巧
2024年20款好用的项目管理软件推荐,项目管理提效的20个工具和技巧
  为什么项目管理通常仍然耗时且低效?您是否还在反复更新电子表格、淹没在便利贴中并参加每周更新会议?这确实是耗费时间和精力。借助软件工具的帮助,您可以一目了然地全面了解您的项目。如今,国内外有足够多优秀的项目管理软件可以帮助您掌控每个项目。什么是项目管理软件?项目管理软件是广泛行业用于项目规划、资源分配和调度的软件。它使项...
项目管理软件   997  
CDCP评审中的沟通技巧与最佳实践
CDCP评审中的沟通技巧与最佳实践
  在项目管理领域,CDCP(Certified Data Center Professional)认证评审是一个至关重要的环节,它不仅验证了项目团队的专业能力,还直接关系到项目的成功与否。在这一评审过程中,沟通技巧的运用至关重要。有效的沟通不仅能够确保信息的准确传递,还能增强团队协作,提升评审效率。本文将深入探讨CDCP...
华为IPD流程   34  
IPD培训课程中的5个关键成功因素
IPD培训课程中的5个关键成功因素
  IPD(Integrated Product Development,集成产品开发)是一种以客户需求为核心、跨部门协同的产品开发模式,旨在通过高效的资源整合和流程优化,提升产品开发的成功率和市场竞争力。在IPD培训课程中,掌握关键成功因素是确保团队能够有效实施这一模式的核心。以下将从五个关键成功因素展开讨论,帮助企业和...
IPD项目流程图   40  
华为IPD流程与市场竞争力提升的关系
华为IPD流程与市场竞争力提升的关系
  华为IPD(Integrated Product Development,集成产品开发)流程是华为公司在其全球化进程中逐步构建和完善的一套高效产品开发管理体系。这一流程不仅帮助华为在技术创新和产品交付上实现了质的飞跃,还为其在全球市场中赢得了显著的竞争优势。IPD的核心在于通过跨部门协作、阶段性评审和市场需求驱动,确保...
华为IPD   39  
华为IPD在全球市场中的成功案例与经验分享
华为IPD在全球市场中的成功案例与经验分享
  华为作为全球领先的通信技术解决方案提供商,其成功的背后离不开一套成熟的管理体系——集成产品开发(IPD)。IPD不仅是一种产品开发流程,更是一种系统化的管理思想,它通过跨职能团队的协作、阶段评审机制和市场需求驱动的开发模式,帮助华为在全球市场中脱颖而出。从最初的国内市场到如今的全球化布局,华为的IPD体系在多个领域展现...
IPD管理流程   71  
热门文章
2024年项目管理软件排行榜
2024年20款好用的项目管理软件推荐,项目管理提效的20个工具和技巧
img020
使用 Python 'Requests' 模块的代理
img044
10个项目管理常见问题解答:包括难点和解决方法
项目管理软件
项目延期的原因有哪些?如何有效预防和管理?
项目管理软件
项目管理指南:制定项目实施计划的6大步骤有哪些?
项目里程碑计划模板
项目里程碑计划模板怎么写?设定项目里程碑的5个方法
好用的项目管理软件有哪些
2024年开源项目管理软件有哪些?推荐5款好用的项目管理工具
项目管理软件有哪些?
热门标签
更多>
IPD流程 项目管理 IT项目管理 敏捷开发 项目管理软件 Scrum 敏捷项目管理 IPD流程管理 项目风险管理 项目管理工具 项目经理 极限编程  产品管理  项目经理职责 项目路线图 项目进度管理 测试管理工具 项目预算管理 PMP认证 瀑布式管理 项目范围管理 IT科技 项目管理平台 工程项目管理 项目资源管理 pmp证书考试
云禅道AD
禅道项目管理软件

云端的项目管理软件

尊享禅道项目软件收费版功能

无需维护,随时随地协同办公

内置subversion和git源码管理

每天备份,随时转为私有部署

免费试用