我的问题是我有一个 SELECT 查询,但是要从中选择数据的表需要由用户从 HTML 文件中指定。谁能建议一种方法来做到这一点?
我正在查询一个 postgres 数据库,并且 SQL 查询在一个 python 文件中。
问问题
67 次
1 回答
1
创建一个变量table_name并验证它只包含表名中允许的字符。然后放到SQL查询中:
sql = "SELECT ... FROM {} WHERE ...".format(table_name) # replace ... with real sql
如果你不验证它并且用户发送了一些讨厌的东西,你就会遇到风险。
于 2013-02-20T12:04:41.077 回答