Как использовать переменную для имени таблицы SQLite

Question

Как использовать переменную для имени таблицы SQLite

У меня есть программа, в которой пользователь может выбрать таблицу, которую он хочет изменить в SQLite. Я храню выбор в переменной с именем table, а затем попробуйте выбрать все из этой таблицы

c.execute('SELECT * FROM ?', (table,))

Программа застревает на вопросительном знаке. Это говорит:

"Sqlite3.OperationalError: near"? ": Синтаксическая ошибка"

Что я делаю неправильно?

5

python python-3.x sqlite

Источник

user6629924 28 авг '16 в 22:44

1 ответ

Решение

Другие вопросы по тегам python python-3.x sqlite

user21945 28 авг '16 в 22:53 2016-08-28 22:53 · Accepted Answer · 2016-08-28 22:53

Вы не можете использовать подстановку параметров для имени таблицы. Вам нужно добавить имя таблицы в строку запроса самостоятельно. Что-то вроде этого:

query = 'SELECT * FROM {}'.format(table)
c.execute(query)

Следует помнить об источнике значения для имени таблицы. Если это происходит из ненадежного источника, например, от пользователя, вам необходимо проверить имя таблицы, чтобы избежать потенциальных атак SQL-инъекций. Одним из способов может быть создание параметризованного запроса, который ищет имя таблицы из каталога БД:

import sqlite3

def exists_table(db, name):
    query = "SELECT 1 FROM sqlite_master WHERE type='table' and name = ?"
    return db.execute(query, (name,)).fetchone() is not None