私の問題は、SELECT クエリがありますが、データを選択するテーブルをユーザーが HTML ファイルから指定する必要があることです。誰でもこれを行う方法を提案できますか?
postgres データベースにクエリを実行していますが、SQL クエリは Python ファイルにあります。
私の問題は、SELECT クエリがありますが、データを選択するテーブルをユーザーが HTML ファイルから指定する必要があることです。誰でもこれを行う方法を提案できますか?
postgres データベースにクエリを実行していますが、SQL クエリは Python ファイルにあります。
変数table_name
を作成し、テーブル名に使用できる文字のみが含まれていることを確認します。次に、それを SQL クエリに入れます。
sql = "SELECT ... FROM {} WHERE ...".format(table_name) # replace ... with real sql
確認せずにユーザーが何か厄介なものを送信した場合、危険にさらされます。