获取表名从用户选择
问题描述:
我的问题是我有一个SELECT查询,但表中选择的数据需要由用户从HTML文件中指定。任何人都可以建议一种方法来做到这一点获取表名从用户选择
我正在查询一个postgres数据库和SQL查询是在一个python文件。
答
创建一个变量table_name
和验证它是否只包含表名中允许使用的字符。然后把它放到SQL查询:
sql = "SELECT ... FROM {} WHERE ...".format(table_name) # replace ... with real sql
如果不对其进行验证和用户发送讨厌的东西,you run into risk。
[更多来自我们的朋友Bobby Tables](http://bobby-tables.com/)。 :) – 2013-02-20 19:30:04