私の問題は、SELECT クエリがありますが、データを選択するテーブルをユーザーが HTML ファイルから指定する必要があることです。誰でもこれを行う方法を提案できますか?
postgres データベースにクエリを実行していますが、SQL クエリは Python ファイルにあります。
質問する
67 次
1 に答える
1
変数table_nameを作成し、テーブル名に使用できる文字のみが含まれていることを確認します。次に、それを SQL クエリに入れます。
sql = "SELECT ... FROM {} WHERE ...".format(table_name) # replace ... with real sql
確認せずにユーザーが何か厄介なものを送信した場合、危険にさらされます。
于 2013-02-20T12:04:41.077 に答える