MySQLクエリでデータベース名をパラメータ化する安全な方法はありますか？

Question

私は私の個人的なプロジェクトのためのMySQLデータベースと関連するアカウントの作成を自動化するのに役立つ小さなpythonスクリプトを書いています。このスクリプトの一部は、データベース名を文字列として取り、次にデータベースを作成する関数です。

def createDB(dbConn, dbName): 
    import MySQLdb 
    c = dbConn.cursor() 
    query = """CREATE DATABASE %s;"""; 
    c.execute(query, (dbName,)) 

MySQL's CREATE DATABASEが

CREATE DATAbASE test_db 

のように、データベースの引用符で囲まれていない名前を尋ねたが、安全問合せにユーザーに提供デシベル名を挿入しようとする私のコードが作成されますので、これは動作しません。

CREATE DATABASE 'test_db' 

あなたは「あなたのMySQL構文に近いテストで問題があります」というメッセージが表示されます。

これは個人的な使い方ではありますが、私は実際にユーザーが提供した文字列をあらゆる種類のクエリに直接挿入したくありません。それは私の宗教に対するものです。 test_db; DROP some_other_db;などのユーザー入力が拒否されるか、正しくエスケープされるようにするpython（または他の言語）のmySQLクエリにユーザー提供のデータベース名を挿入する安全な方法はありますか？

Answer 1

後：あなただけの、何かのようなPythonで置換を行うだろう、あなたはこれを必要と確信している場合は

は、あなたが入力のソースを信頼し、あなたは無効な文字の入力をチェックしていますphpmyadminがバッククォートを使ってデータベース名、表名、列名を引用することが判明しました。彼らは単に実行します。

入力文字列のいずれかのバッククォートはphpmyadminののコードに応じて交換することによって行われる、エスケープする必要がある。もちろん、

CREATE DATABASE `test_db; DROP some_other_db`; 

のようなもの上記のエラーケースに与える

$sql_query = 'CREATE DATABASE ' . PMA_backquote($new_db); 

をすべての単一のバックチック。ダブルバックチック。私はこれが正しいことを確認する場所を見つけることができません。

バックティックは標準SQLではありませんが、私はオンラインでも気づきました。

Answer 2

データベース名（または列またはテーブル名）はデータ値ではないため、プレースホルダを適切に使用することはできません。これをやりたければ、通常は悪い兆候です。 DBAのみがcreate databaseを発行する必要があります。そのためには、かなりの特権が必要です。ほとんどのアプリケーションでは、DBAが作成データベースを発行し、dbapi.Connectionの引数で使用するパラメータとして作成したデータベースを使用する必要があります。

def createDB(dbConn, dbName): 
    c = dbConn.cursor() 
    query = """CREATE DATABASE %s;""" % dbName 
    c.execute(query)