问题:是否可以使用变量作为表名而不必使用字符串构造函数来执行此操作?
信息:
我正在开展一个项目,目的是对我的星模拟数据进行编目.为此,我将所有数据加载到sqlite数据库中.它工作得很好,但我决定为我的数据库增加更多的灵活性,效率和可用性.我计划稍后在模拟中添加小行星,并希望每个星都有一个表格.这样我就不必在每个太阳系中查询一个20m的某些小行星的表格.
我被告知使用字符串构造函数很糟糕,因为它让我容易受到SQL注入攻击.虽然这不是什么大问题,因为我是唯一可以访问这些dbs的人,但我想遵循最佳实践.而且这种方式如果我做一个类似的情况,它向公众开放,我知道该怎么做.
目前我这样做:
cursor.execute("CREATE TABLE StarFrame"+self.name+" (etc etc)")
这有效,但我想做更多的事情:
cursor.execute("CREATE TABLE StarFrame(?) (etc etc)",self.name)
虽然我明白这可能是不可能的.虽然我愿意接受类似的东西
cursor.execute("CREATE TABLE (?) (etc etc)",self.name)
如果这根本不可能,我会接受这个答案,但如果有人知道如何做到这一点,请告诉我.:)
我在python中编码.