sqlite中的变量表名

问题:是否可以使用变量作为表名而不必使用字符串构造函数来执行此操作？

---

信息:

我正在开展一个项目,目的是对我的星模拟数据进行编目.为此,我将所有数据加载到sqlite数据库中.它工作得很好,但我决定为我的数据库增加更多的灵活性,效率和可用性.我计划稍后在模拟中添加小行星,并希望每个星都有一个表格.这样我就不必在每个太阳系中查询一个20m的某些小行星的表格.

我被告知使用字符串构造函数很糟糕,因为它让我容易受到SQL注入攻击.虽然这不是什么大问题,因为我是唯一可以访问这些dbs的人,但我想遵循最佳实践.而且这种方式如果我做一个类似的情况,它向公众开放,我知道该怎么做.

目前我这样做:

cursor.execute("CREATE TABLE StarFrame"+self.name+" (etc etc)")

这有效,但我想做更多的事情:

cursor.execute("CREATE TABLE StarFrame(?) (etc etc)",self.name)

虽然我明白这可能是不可能的.虽然我愿意接受类似的东西

cursor.execute("CREATE TABLE (?) (etc etc)",self.name)

如果这根本不可能,我会接受这个答案,但如果有人知道如何做到这一点,请告诉我.:)

我在python中编码.

1> Donald Miner..：

---

不幸的是,表格不能成为参数替换的目标(我没有找到任何明确的来源,但我在一些网络论坛上看到过).

如果您担心注入(您可能应该这样做),您可以编写一个在传递字符串之前清除字符串的函数.由于您只是在寻找一个表名,因此您应该安全地接受字母数字,删除所有标点符号,例如)(][;,空格.基本上,只要保持A-Z a-z 0-9.

def scrub(table_name):
    return ''.join( chr for chr in table_name if chr.isalnum() )

scrub('); drop tables --')  # returns 'droptables'

---

就个人而言,如果看到这样的字符,我会抛出异常.他们一定不能在那里,所以有些事情是错的,我宁愿知道.

---

所以这是不可能的.这就是我需要知道的.你建议的擦洗方法看起来非常好.谢谢!

---

-1; 这个答案的细节似乎有缺陷.这是过于严格的限制(例如,不允许表名中的下划线,这是相当普遍的),正如@JanHudec所指出的,如果`scrub()`实际上删除了任何字符,那几乎肯定会打破查询; 这应该导致立即抛出异常而不是等待查询执行时间来查找.

2> Ned Batcheld..：

---

我不会将数据分成多个表.如果在星形列上创建索引,则无法有效地访问数据.

---

您需要了解有关SQLite和所有关系数据库如何工作的更多信息.他们使用索引快速查找所需的行.你所描述的被称为"全表扫描",是的,它是可怕的.但它很容易避免.人们总是制作包含数百万行的表,而不必承担全表扫描的费用.