我有以下PostgreSQL查询
data = {'token':"123",'kart_user':"tablename"}
select_stmt = "SELECT * FROM %(kart_user)s WHERE token = %(token)s"
self.cur.execute(select_stmt, data)
result = self.cur.fetchone()
在选择查询%(kart_user)s中,以单引号的形式表示
我的问题是如何从同一个查询中删除引号?
答案 0 :(得分:3)
使用SQL参数的整个点是为了防止数据被解释为SQL对象或语法。您不能使用SQL参数来命名表;您只能将SQL参数用于数据。
您必须单独插入表名。这确实意味着您冒着将代码打开到SQL注入的风险;如果这是源于用户输入,我会根据已知表名列表测试表名。
assert data['kart_user'] in known_tables
select_stmt = "SELECT * FROM {} WHERE token = %(token)s".format(data['kart_user'])
self.cur.execute(select_stmt, data)