sql >> データベース >  >> RDS >> PostgreSQL

テーブル名の適切な挿入

    優れたライブラリは、次のようなSQL名の適切なエスケープを提供する必要があります。

    • スキーマ名
    • テーブル名
    • 列名

    たとえば、pg-promise内では、次のように使用します。

    db.query("INSERT INTO $1~ VALUES ($2, $3, $4)", [table_name, value_a, value_b, value_c])
    

    つまり、変数に~を追加することで、テーブル名を適切にエスケープできます。 、これにより、SQLインジェクションから安全になります。

    ここから、ライブラリによって実行されるテーブル名の単純なエスケープ:

    return '"' + name.replace(/"/g, '""') + '"';
    

    参照:SQL名



    1. 2つの行の間の時間差を計算します

    2. SQLとは何ですか?データベースとは何ですか?リレーショナルデータベース管理システム(RDBMS)は平易な英語で説明されています。

    3. MySQLでピボットテーブルの出力を返すにはどうすればよいですか?

    4. adopフェーズで何が起こるか