Comment voulez-vous échapper à cordes pour SQLite/table des noms de colonne en Python?

L'approche standard pour l'utilisation de valeurs de variables dans SQLite requêtes est le "point d'interrogation style", comme ceci:

import sqlite3
with sqlite3.connect(":memory:") as connection:
    connection.execute("CREATE TABLE foo(bar)")
    connection.execute("INSERT INTO foo(bar) VALUES (?)", ("cow",))

    print(list(connection.execute("SELECT * from foo")))
    # prints [(u'cow',)]

Toutefois, cela ne fonctionne que pour la substitution des valeurs dans les requêtes. Il échoue lorsque utilisé pour la table ou la colonne des noms:

import sqlite3
with sqlite3.connect(":memory:") as connection:
    connection.execute("CREATE TABLE foo(?)", ("bar",))
    # raises sqlite3.OperationalError: near "?": syntax error

Ni le sqlite3 module ni PEP 249 mentionner une fonction pour échapper à des noms ou des valeurs. Sans doute c'est pour décourager les utilisateurs de l'assemblage de leurs requêtes avec des chaînes, mais il me laisse à une perte.

Quelle fonction ou technique est la plus appropriée pour l'utilisation de noms de variables pour les colonnes ou de tables SQLite? J'avais la nette préférence de ne pouvoir le faire sans toutes les autres dépendances, car je vais l'utiliser dans mon propre wrapper.

J'ai cherché mais je ne pouvais pas trouver une description claire et complète de la partie pertinente de SQLite est la syntaxe à utiliser pour écrire ma propre fonction. Je veux être sûr que cela fonctionne pour n'importe quel identificateur permise par SQLite, donc un essai-et-erreur de la solution est trop aléatoire pour moi.

SQLite utilise " pour citer les identificateurs mais je ne suis pas sûr que juste échapper est suffisant. PHP fonction sqlite_escape_string fonction de la documentation suggère que certaines des données binaires peuvent avoir besoin d'être échappé, mais qui peut être un caprice de la bibliothèque PHP.

InformationsquelleAutor Jeremy | 2011-06-28
  1. 30

    Pour convertir une chaîne en un SQLite identifiant:

    • S'assurer de la chaîne peut être codé en UTF-8.
    • Assurer la chaîne de ne pas inclure tout NUL caractères.
    • Remplacer tous les " avec "".
    • Envelopper le tout dans des guillemets doubles.

    Mise en œuvre

    import codecs

def quote_identifier(s, errors="strict"):
    encodable = s.encode("utf-8", errors).decode("utf-8")

    nul_index = encodable.find("\x00")

    if nul_index >= 0:
        error = UnicodeEncodeError("NUL-terminated utf-8", encodable,
                                   nul_index, nul_index + 1, "NUL not allowed")
        error_handler = codecs.lookup_error(errors)
        replacement, _ = error_handler(error)
        encodable = encodable.replace("\x00", replacement)

    return "\"" + encodable.replace("\"", "\"\"") + "\""

    Donné une chaîne unique argument, il va s'échapper et de le citer correctement ou lever une exception. Le deuxième argument peut être utilisé pour spécifier n'importe quel gestionnaire d'erreur enregistrés dans le codecs module. Le haut-sont:

    • 'strict': lever une exception en cas d'erreur de codage
    • 'replace': remplacer des données malformées, avec un marqueur de remplacement, tels que '?' ou '\ufffd'
    • 'ignore': ignorer des données malformées et continuer sans préavis
    • 'xmlcharrefreplace': remplacer avec le caractère XML de référence (pour l'encodage uniquement)
    • 'backslashreplace': remplacer avec backslashed des séquences d'échappement (pour l'encodage uniquement)

    Cela ne veut pas vérifier réservés identifiants, donc si vous essayez de créer un nouveau SQLITE_MASTER table, il n'arrête pas de vous.

    Exemple D'Utilisation

    import sqlite3

def test_identifier(identifier):
    "Tests an identifier to ensure it's handled properly."

    with sqlite3.connect(":memory:") as c:
        c.execute("CREATE TABLE " + quote_identifier(identifier) + " (foo)")
        assert identifier == c.execute("SELECT name FROM SQLITE_MASTER").fetchone()[0]

test_identifier("'Héllo?'\\\n\r\t\"Hello!\" -☃") # works
test_identifier("北方话") # works
test_identifier(chr(0x20000)) # works

print(quote_identifier("Fo\x00o!", "replace")) # prints "Fo?o!"
print(quote_identifier("Fo\x00o!", "ignore")) # prints "Foo!"
print(quote_identifier("Fo\x00o!")) # raises UnicodeEncodeError
print(quote_identifier(chr(0xD800))) # raises UnicodeEncodeError

    Observations et Références

    • SQLite identificateurs sont TEXTE, pas binaire.
      • SQLITE_MASTER schéma dans la FAQ
      • Python 2 de l'API SQLite a crié à moi quand je lui ai donné octets qu'il ne pouvait pas décoder le texte.
      • Python 3 SQLite API nécessite des requêtes être strs, pas bytes.
    • Guillemets dans SQLite, les identificateurs sont échappés comme deux guillemets doubles.
    • SQLite identificateurs de préserver la casse, mais ils sont insensibles à la casse vers ASCII des lettres. Il est possible d'activer unicode insensibilité à la casse.
    • sqlite3 peut gérer n'importe quelle autre chaîne unicode aussi longtemps qu'il peut être correctement codées en UTF-8. Les chaînes non valides pourrait provoquer des collisions entre Python 3.0 et Python 3.1.2 ou à peu près. Python 2 accepté ces chaînes non valides, mais c'est considéré comme un bug.
    • Plus loin sur la question du respect de la casse dans la plage ASCII: pour une chaîne de caractères arbitraire pour être convertis, certains personnalisée échappement peut être utilisé, par exemple: A-Z -> &a-&z et & -> &&.
    • Depuis votre réponse qui me semble le plus complet sur ce sujet, si vous connaissez, pourriez-vous ajouter la mention de restrictions ou particulières de manipulation de chaîne de caractères vide (surtout depuis l'aime de IndexedDB ne permettent qu'un identifiant). Je vois que certains de la mise en œuvre traiter les cordes à vide comme une base de données temporaire.
    InformationsquelleAutor Jeremy
  2. 27

    La psycopg2 documentation explicitement recommande l'utilisation normale python % ou {} mise en forme de substituer une table et les noms de colonne (ou d'autres bits de dynamique de la syntaxe), et ensuite, en utilisant le mécanisme de paramétrage de remplacer les valeurs dans la requête.

    Je suis en désaccord avec tout le monde qui est en train de dire "ne jamais utiliser la dynamique de la table/les noms de colonne, vous êtes en train de faire quelque chose de mal si vous avez besoin d'". - Je écrire des programmes pour automatiser des trucs avec des bases de données tous les jours, et je le fais tout le temps. Nous avons beaucoup de bases de données avec beaucoup de tables, mais ils sont tous construits sur des motifs répétés, afin générique de code pour gérer leur est extrêmement utile. La main-écrire les requêtes de tous les temps seraient beaucoup plus enclins à faire des erreurs et dangereux.

    Il s'agit de ce "coffre-fort" signifie. La sagesse conventionnelle est que l'utilisation normale de python de manipulation de chaîne de placer les valeurs dans vos requêtes n'est pas "safe". C'est parce qu'il y a toutes sortes de choses qui peuvent mal se passer si vous le faites, et ces données, très souvent, provient de l'utilisateur et n'est pas sous votre contrôle. Vous avez besoin d'un 100% fiable échapper à ces valeurs correctement de sorte qu'un utilisateur ne peut pas injecter du SQL dans une valeur de données et la base de données de l'exécuter. Ainsi la bibliothèque des écrivains de faire ce travail; vous ne doit jamais l'.

    Si, toutefois, vous êtes en train de rédiger générique helper code pour fonctionner sur des choses de bases de données, ces considérations ne s'appliquent pas autant. Vous êtes implicitement de donner n'importe qui peut appeler un tel code d'accès à tout le contenu de la base de données; c'est le point de l'aide du code. Alors maintenant, le problème de sécurité est de s'assurer que les données générées par l'utilisateur ne peut jamais être utilisé dans un tel code. Il s'agit d'un problème de sécurité dans le codage, et est un peu le même problème que aveuglément execing un utilisateur de la chaîne d'entrée. C'est une question distincte de l'insertion valeurs dans vos requêtes, car il vous voulez pour être en mesure de en toute sécurité poignée de l'utilisateur des données d'entrée.

    Donc, ma recommandation est: "faites ce que vous voulez assembler dynamiquement vos requêtes. Normal d'utilisation de python de la chaîne de création de modèles de sous la table et les noms de colonne, de la colle sur les clauses where et des jointures, toutes les bonnes (et horrible à déboguer) trucs. Mais assurez-vous que vous êtes conscient que quelles que soient les valeurs de ces codes de touche doit venir de vous, vos utilisateurs[1]. Ensuite, vous utilisez SQLite du paramètre de substitution de la fonctionnalité en toute sécurité insérer l'utilisateur les valeurs d'entrée dans vos requêtes que valeurs.

    [1] Si (comme c'est le cas pour une grande partie du code que j'ai écris) vos utilisateurs sont les gens qui ont plein accès à des bases de données de toute façon, et le code est de simplifier leur travail, cette considération ne s'applique pas; vous êtes probablement l'assemblage des requêtes sur des tables spécifiées. Mais vous devriez toujours utiliser SQLite du paramètre de substitution pour vous sauver de l'inévitable véritable valeur que finalement, contient des apostrophes ou des signes de pourcentage.

    • C'est beaucoup moins nécessaire. N'importe qui qui veut le nom d'une table "Mon" %brillante% de "table" est de faire le mal. La Table et les noms de colonne sont généralement de simples chaînes de caractères qui seraient des identificateurs valides dans la plupart des langages de programmation, de sorte qu'ils ne vont pas exploser accidentellement. Et vous jeter à la sécurité de la fenêtre si vous donnez aux utilisateurs la possibilité de passer les noms de table dans votre application, de toute façon, si vous ne le faites pas.
    • Comment désinfecter les noms de colonne? Autant que je comprends, la suppression des crochets et bracketing le nom de la colonne devrait être ok, mais vous remarquez quelque chose que sqlite estime lui-même en sécurité?
    • Sont les noms des colonnes venant de "vous"? (i.e. généré à partir des constantes dans le programme, ou d'une autre source contrôlée) Ou sont-ils à venir à partir d'une source externe, qui pourrait contenir des noms bizarres? Si elles viennent de vous, je venais de mettre les noms que vous générez sont des identificateurs valides. Si vous vous sentez digne de confiance d'entrée à utiliser comme noms de colonne, personnellement, je serais enclin à être impitoyable; tout en minuscules, puis remplacer tout sauf des lettres et des chiffres avec des traits de soulignement.
    • ce n' psycopg2 avoir à faire avec sqlite?
    • Rien. J'étais simplement en citant psycopg2 comme raisonnablement respecté source qui est d'accord avec l'affirmation dans le reste de mon post; que l'ordinaire de la chaîne de création de modèles opérations sont généralement suffisants pour l'insertion de la table/les noms de colonne dans les requêtes.
    InformationsquelleAutor Ben
  3. 16

    Si vous êtes tout à fait certain que vous avez besoin de spécifier les noms de colonnes dynamiquement, vous devez utiliser une bibliothèque qui peut le faire en toute sécurité (et se plaint à propos de choses qui sont fausses). SQLAlchemy est très bon à cela.

    >>> import sqlalchemy
>>> from sqlalchemy import *
>>> metadata = MetaData()
>>> dynamic_column = "cow"
>>> foo_table = Table('foo', metadata,
...     Column(dynamic_column, Integer))
>>>

    foo_table maintenant représente la table avec la dynamique de schéma, mais vous ne pouvez l'utiliser que dans le contexte d'une connexion de base de données (de sorte que sqlalchemy sait le dialecte, et quoi faire avec le sql généré).

    >>> metadata.bind = create_engine('sqlite:///:memory:', echo=True)

    Vous pouvez ensuite le problème de la CREATE TABLE .... avec echo=True, sqlalchemy sera journal le sql généré, mais en général, sqlalchemy sort de sa façon de garder le sql généré hors de vos mains (de peur que vous envisagez d'utiliser à de mauvaises fins).

    >>> foo_table.create()
2011-06-28 21:54:54,040 INFO sqlalchemy.engine.base.Engine.0x...2f4c 
CREATE TABLE foo (
    cow INTEGER
)
2011-06-28 21:54:54,040 INFO sqlalchemy.engine.base.Engine.0x...2f4c ()
2011-06-28 21:54:54,041 INFO sqlalchemy.engine.base.Engine.0x...2f4c COMMIT
>>>

    et oui, sqlalchemy va prendre soin de tous les noms de colonnes qui nécessitent un traitement spécial, comme lorsque le nom de la colonne est un mot réservé sql

    >>> dynamic_column = "order"
>>> metadata = MetaData()
>>> foo_table = Table('foo', metadata,
...     Column(dynamic_column, Integer))
>>> metadata.bind = create_engine('sqlite:///:memory:', echo=True)
>>> foo_table.create()
2011-06-28 22:00:56,267 INFO sqlalchemy.engine.base.Engine.0x...aa8c 
CREATE TABLE foo (
    "order" INTEGER
)
2011-06-28 22:00:56,267 INFO sqlalchemy.engine.base.Engine.0x...aa8c ()
2011-06-28 22:00:56,268 INFO sqlalchemy.engine.base.Engine.0x...aa8c COMMIT
>>>

    et peut vous sauver du possible, la méchanceté:

    >>> dynamic_column = "); drop table users; -- the evil bobby tables!"
>>> metadata = MetaData()
>>> foo_table = Table('foo', metadata,
...     Column(dynamic_column, Integer))
>>> metadata.bind = create_engine('sqlite:///:memory:', echo=True)
>>> foo_table.create()
2011-06-28 22:04:22,051 INFO sqlalchemy.engine.base.Engine.0x...05ec 
CREATE TABLE foo (
    "); drop table users; -- the evil bobby tables!" INTEGER
)
2011-06-28 22:04:22,051 INFO sqlalchemy.engine.base.Engine.0x...05ec ()
2011-06-28 22:04:22,051 INFO sqlalchemy.engine.base.Engine.0x...05ec COMMIT
>>>

    (apparemment des choses étranges se sont parfaitement légales identifiants sqlite)

    • L'affiche a dit qu'il ne voulait pas de dépendances supplémentaires, mais depuis SQLAlchemy est open source c'est encore un bon exemple de où chercher pour trouver ce que vous devez faire pour vraiment bien faire les choses.
    • +1 pour la subtile xkcd de référence. 🙂
    InformationsquelleAutor SingleNegationElimination
  4. 7

    La première chose à comprendre est que la table/colonne de noms ne peut pas être échappé dans le même sens que vous ne pouvez échapper à chaînes stockées en tant que valeurs de base de données.

    La raison en est que soit vous avez à:

    • accepter/rejeter le potentiel de table/nom de la colonne, c'est à dire qu'il n'est pas garanti qu'une chaîne est acceptable colonne/nom de la table, contrairement à une chaîne à être stockées dans une base de données; ou,
    • désinfecter la chaîne qui aura le même effet que la création d'un digest: la fonction utilisée est surjective, pas bijective (une fois de plus, l'inverse est vrai pour une chaîne qui doit être stocké dans une base de données); ainsi, non seulement ne peut pas vous être certains de passer de l'aseptisé nom retour à l'origine le nom, mais vous êtes à risque de accidentellement en essayant de créer deux colonnes ou des tables avec le même nom.

    Avoir compris que, le deuxième chose à comprendre est que la façon dont vous allez vous retrouver "s'échapper" de la table/les noms de colonnes dépend de votre contexte spécifique, et donc, il n'y a plus d'une façon de faire cela, mais quelle que soit la manière, vous aurez besoin de creuser pour comprendre exactement ce qui est ou n'est pas acceptable colonne/nom de la table dans sqlite.

    Pour vous aider à démarrer, voici une condition:

    Table des noms qui commencent par "sqlite_" sont réservées à un usage interne. C'est une erreur que de tenter de créer une table avec un nom qui commence par "sqlite_".

    Mieux encore, l'utilisation de certains noms de colonne peut avoir des effets secondaires indésirables:

    Chaque ligne de chaque table SQLite est un 64 bits entier signé clé
    identifie de manière unique la ligne à l'intérieur de sa table. Cet entier est généralement
    appelé le "rowid". Le rowid valeur peut être consulté à l'aide de l'un des
    spécial de la casse des noms de "rowid", "oid", ou "rowid" à la place
    d'un nom de colonne. Si une table contient une colonne nommée
    "rowid", "oid" ou "rowid", alors que le nom se réfère toujours la
    explicitement déclarées à la colonne et ne peut pas être utilisé pour récupérer l'entier
    rowid valeur.

    Tous les deux cités, les textes sont de http://www.sqlite.org/lang_createtable.html

    InformationsquelleAutor
  5. 6

    De la sqlite faq, question 24 (la formulation de la question n'est évidemment pas donner un indice que la réponse peut être utile à votre question):

    SQL utilise des guillemets doubles autour de identificateurs (colonne ou les noms de table) qui contient des caractères spéciaux ou qui sont des mots clés. Si les guillemets sont un moyen de s'échapper de l'identificateur de noms.

    Si le nom lui-même contient des guillemets, échapper à ce double devis avec une autre.

    • +1, merci. Je ne pense pas que c'est une solution complète, cependant, parce que les fonctions PHP pour échapper à SQLite valeurs échappe également certaines valeurs binaires (je ne pouvais pas comprendre les détails) et je pense que cela peut aussi être nécessaire ici.
    • Les valeurs binaires dans le tableau/les noms de colonne? Pas sûr de ce que tu veux dire là... (me semble que ces fonctions sont destinées à des valeurs plutôt que de la table ou de la colonne des noms, et même alors, il serait une chose étrange à utiliser à la place de sqlite du "point d'interrogation" paramètre de substitution)
    • Cette fonction est destinée pour les valeurs à la place des noms, mais il me donne à penser qu'il pourrait aussi être possible d'inclure des données binaires dans les noms, dans la théorie, ce qui serait une unhanded cas limite si je ne échappé à double-guillemets.
    • Fait quelques recherches sur google... faites-vous référence à la fonction sqlite_escape_string? Que l'on ne semble pas être destiné à une (ou même pour) échappant à table/colonne de noms d'aussi loin que je peux dire, mais peut-être quelqu'un avec PHP connaissances peuvent fournir quelques infos?
    • Je suis et vous avez raison. Je ne dis pas que c'est le PHP équivalent de ce que je cherche; je dis cela parce que les valeurs ont besoin d'avoir certains octets échappé, il semble probable que des noms aussi besoin d'avoir ces octets échappé.
    • Je ne pense pas que ce sera un problème, car si je ne me trompe pas -, il ne sera même pas possible d'avoir des noms tels que votre base de données (je ne suppose pas que le standard sql permet cela, et je serais surpris si sqlite n')
    • Ce pourrait être le cas, mais je n'ai pas été en mesure de trouver quelque chose confirmant que le comportement. J'aimerais être bien que la fonction va se comporter correctement pour tous les identificateurs.

    InformationsquelleAutor Steven
  6. 5

    Espaces réservés sont que pour des valeurs. La colonne et les noms de table sont structurelles, et s'apparentent à des noms de variables; vous ne pouvez pas utiliser des espaces réservés pour les remplir.

    Vous disposez de trois options:

    1. De façon appropriée évasion/citer le nom de la colonne partout où vous l'utilisez. C'est fragile et dangereuse.
    2. Utiliser un ORM comme SQLAlchemy, qui prendra soin de s'échapper/citer pour vous.
    3. Idéalement, il suffit de ne pas avoir de dynamique des noms de colonne. Les Tables et les colonnes sont pour structure; quelque chose de dynamique est données et devrait être dans la table plutôt que de faire partie d'elle.
    InformationsquelleAutor Eevee
  7. 1

    De psycopg2 version 2.7 (sorti en Février 2017), les noms de colonnes et les noms de table (identifiants) peuvent être générées à la volée de façon sécuritaire à l'aide de psycopg2.sql. Voici un lien vers la documentation avec des exemples: http://initd.org/psycopg/docs/sql.html.

    Donc, la façon d'écrire la requête dans votre question serait:

    import sqlite3
from psycopg2 import sql
with sqlite3.connect(":memory:") as connection:
    query = sql.SQL("CREATE TABLE {}").format("bar")
    connection.execute(query)
    • Notez que cela apporte une dépendance sur un Postgres DB client de moteur, qui peut ne pas être souhaitable dans sqlite, les projets et va sans doute hausser les sourcils.
    InformationsquelleAutor tarlen555
  8. 1

    Utiliser la fonction définie spécifiquement pour cette:

    quote(X)

    La citation(X) la fonction renvoie le texte de SQL littérale qui est la valeur de son argument approprié pour l'inclusion dans une instruction SQL. Les chaînes sont entourés par des guillemets simples avec échappement à l'intérieur des guillemets tant que de besoin. Les BLOBs sont codés en hexadécimal littéraux. Les chaînes avec embedded NUL caractères ne peut pas être représenté comme une chaîne de caractères littéraux en SQL, et donc le retour littéral de chaîne est tronquée avant le premier NUL.

    Source: https://www.sqlite.org/draft/lang_corefunc.html#quote

    Exemple d'utilisation:

    db = sqlite3.connect('foo.sqlite3')
cur = db.cursor()
escaped_symbol = cur.execute('SELECT quote(?);', [unescaped_symbol]).fetchone()[0]
    InformationsquelleAutor Dragon
  9. 0

    Si vous trouvez que vous avez besoin d'une variable le nom de l'entité (soit relvar ou champ), alors vous êtes probablement faire quelque chose mal. un autre modèle serait d'utiliser une carte de propriété, quelque chose comme: 

    CREATE TABLE foo_properties(
    id INTEGER NOT NULL,
    name VARCHAR NOT NULL,
    value VARCHAR,
    PRIMARY KEY(id, name)
);

    Ensuite, il suffit juste de préciser le nom de façon dynamique lors d'un insert à la place d'une colonne.

    InformationsquelleAutor SingleNegationElimination