psycopg2 E'在表、字段和模式上

发布于 2024-11-14 10:21:12 字数 472 浏览 6 评论 0原文

给出的所有答案都是相关的，但我正在打破我的脖子就在这上面。

问题是 psycopg2 不仅转义值，还转义模式、表和列名称，如下所示：

CREATE TABLE E'Tablename' (E'identificatie' VARCHAR(16))

它根本不应该这样做！我如何摆脱表名和列的 E 和 '' 但保留字段值的 E 和 '' ？

另一种选择

'CREATE TABLE ' + tablename + ' (' + fieldname... %

使其再次容易受到 SQL 注入的攻击。

陷入进退两难的境地..

原文

I am having the same problem as:
python adds "E" to string

All the answers given are relevant, but I am breaking my neck on this one.

The problem is that psycopg2 not only escapes values, but also schema, table and column names like this:

CREATE TABLE E'Tablename' (E'identificatie' VARCHAR(16))

Which it simply shouldn't! How van I get rid of the E and '' for table names and columns but maintain them for field values?

the alternative

'CREATE TABLE ' + tablename + ' (' + fieldname... %

makes it vulnerable to sql injection all over again.

Stuck between a rock and a hard place..

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

烟酉 2024-11-21 10:21:12

无论好坏，Python 接口和 Psycopg 通常不支持将用户提供的标识符替换为 SQL 命令。你必须自己动手。只需几行代码即可完成。

回复收藏 0 原文

み格子的夏天 2024-11-21 10:21:12

好的，谢谢彼得，至少我知道不要再看了。我决定采取不同的方法：

使用脚本文件生成数据库，而不是从代码生成数据库。这将使对数据库进行“版本控制”变得更加容易。

同时，我正在查看 sqlalchemy http://www.sqlalchemy.org/ 它几乎做了什么我想要，但目前还只是一步，因为它需要对我正在重建的应用程序进行彻底的重组

回复收藏 0 原文

~没有更多了~

关于作者

不语却知心

暂无简介

文章

26 人气

关注发私信

alipaysp_snBf0MSZIv

文章 0 评论 0

关注

梦断已成空

文章 0 评论 0

关注

瞎闹

文章 0 评论 0

关注

凯凯我们等你回来

文章 0 评论 0

关注

寄意

文章 0 评论 0

关注

似梦非梦

文章 0 评论 0

友情链接

文江博客

psycopg2 E'在表、字段和模式上

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（2）

关于作者

相关话题

热门标签