擅长:python、mysql、java
<p>一些想法:
-Using参数不可用于表名
-由于sql注入,使用字符串格式并不好</p>
<p>因此,首先,创建一个使表名安全的方法:</p>
<pre class="lang-py prettyprint-override"><code>def escape_table_name(table):
return '"%s"'.format(table.replace('"', '')
</code></pre>
<p>然后使用<code>?</code>作为参数,用转义表名和参数完成代码:</p>
^{pr2}$