如何解决以安全的方式从字典数据创建表
我有一个字典列表,其中包含以下数据:
columns = [{
'name': 'column1','type': 'varchar'
},{
'name': 'column2','type': 'decimal'
},.
.
.
]
从该列表中,我需要根据列表中的每个字典动态创建一个CREATE TABLE语句,其中包含列名和类型,并使用psycopg2适配器在PostgreSQL数据库上执行它。
我设法做到了:
columns = "(" + ",\n".join(["{} {}".format(col['name'],col['type']) for col in columns]) + ")"
cursor.execute("CREATE TABLE some_table_name\n {}".format(columns))
但是此解决方案容易受到SQL注入的攻击。我试图用来自psycopg2的sql模块做完全相同的事情,但是没有运气。总是会出现语法错误,因为它将类型括在引号中。
可以通过某种方式安全地完成此操作吗?
解决方法
您可以使用AsIs来使添加的列类型不加引号:
import psycopg2
from psycopg2.extensions import AsIs
import psycopg2.sql as sql
conn = psycopg2.connect("dbname=mf port=5959 host=localhost user=mf_usr")
columns = [{
'name': "column1",'type': "varchar"
},{
'name': "column2",'type': "decimal"
}]
# create a dict,so we can use dict placeholders in the CREATE TABLE query.
column_dict = {c['name']: AsIs(c['type']) for c in columns}
createSQL = sql.SQL("CREATE TABLE some_table_name\n ({columns})").format(
columns = sql.SQL(',').join(
sql.SQL(' ').join([sql.Identifier(col),sql.Placeholder(col)]) for col in column_dict)
)
print(createSQL.as_string(conn))
cur = conn.cursor()
cur.execute(createSQL,column_dict)
cur.execute("insert into some_table_name (column1) VALUES ('foo')")
cur.execute("select * FROM some_table_name")
print('Result: ',cur.fetchall())
输出:
CREATE TABLE some_table_name
("column1" %(column1)s,"column2" %(column2)s)
Result: [('foo',None)]
注意:psycopg2.sql
对于SQL注入是安全的,AsIs
可能不是。
使用'type': "varchar; DROP TABLE foo"
进行测试会导致Postgres语法错误:
b'CREATE TABLE some_table_name\n ("column1" varchar; DROP TABLE foo,"column2" decimal)'
Traceback (most recent call last):
File "pct.py",line 28,in <module>
cur.execute(createSQL,column_dict)
psycopg2.errors.SyntaxError: syntax error at or near ";"
LINE 2: ("column1" varchar; DROP TABLE foo,"column2" decimal)
,
扩大我的评论,一个完整的例子:
import psycopg2
from psycopg2 import sql
columns = [{
'name': 'column1','type': 'varchar'
},{
'name': 'column2','type': 'decimal'
}]
con = psycopg2.connect("dbname=test host=localhost user=aklaver")
cur = con.cursor()
col_list = sql.SQL(',').join( [sql.Identifier(col["name"]) + sql.SQL(' ') + sql.SQL(col["type"]) for col in columns])
create_sql = sql.SQL("CREATE TABLE tablename ({})").format(col_list)
print(create_sql.as_string(con))
CREATE TABLE tablename ("column1" varchar,"column2" decimal)
cur.execute(create_sql)
con.commit()
test(5432)=> \d tablename
Table "public.tablename"
Column | Type | Collation | Nullable | Default
---------+-------------------+-----------+----------+---------
column1 | character varying | | |
column2 | numeric |
遍历字典的列列表,并将列名称指定为SQL
标识符,并将列类型指定为直接SQL
到sql.SQL
构造中。将此参数用作CREATE TABLE
SQL
的参数。
注意事项:sql.SQL()
不会转义,因此必须先验证这些值,然后再使用它们。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。