我的问题是我有一个SELECT查询,但是用户需要从HTML文件中指定用于选择数据的表。有谁能建议这样做的方法?
我正在查询postgres数据库,SQL查询在python文件中。
答案 0 :(得分:1)
创建变量table_name并验证它只包含表名中允许的字符。然后将它放入SQL查询:
sql = "SELECT ... FROM {} WHERE ...".format(table_name) # replace ... with real sql
如果你没有验证它并且用户发送了令人讨厌的东西,you run into risk。