使用内核2内置格式创建动态类型表。

Question

我正在使用Python开发一个与PostgreSQL数据仓库交互的项目，并且使用psycopg2 API。我希望创建动态类型的表。

例如:我希望能够执行以下代码：

from psycopg2 import connect, sql

connection = connect(host="host", port="port", database="database", user="user", password="pw")

def create_table(tbl_name, col_name, col_type):
    query = sql.SQL("CREATE TABLE {} ({} {})".format(sql.Identifier(tbl_name), sql.Identifier(col_name), sql.Identifier(column_type)))
    connection.execute(query)

create_table('animals', 'name', 'VARCHAR')

并以一个名为“动物”的表结束，该表包含类型为VARCHAR的列"name“。但是，当我试图运行它时，我会得到一个错误：‘类型“"VARCHAR”不存在’。我想，当不应该有任何的VARCHAR类型时，内核2的内置格式化程序将双引号放在VARCHAR类型的周围。通常，我只需要自己处理这个问题，但是文档非常清楚，由于担心SQL注入攻击，因此不应该使用Python字符串连接。安全性是这个项目的一个关注点，所以我想知道是否有可能以这种方式使用pyscopg2创建动态类型的表，如果没有，是否还有另一个第三方API可以安全地这样做。谢谢!

丹尼

Answer 1

我在这方面也遇到了很多麻烦。sql.Identifier用于数据类型(INTEGER、TEXT等)的双重引用的SQL标识符。都不是。看起来，只是简单地使用SQL就行了。

N.B.在您的代码中，您应该有预定义的columns元组，而不是将它们的定义暴露给前端。这也是为什么元组在这里是有用的，因为它们是不可变的。

import psycopg2.sql as sql

def create_table( name, columns ):
    # name = "mytable"
    # columns = (("col1", "TEXT"), ("col2", "INTEGER"), ...)
    fields = []
    for col in columns:
        fields.append( sql.SQL( "{} {}" ).format( sql.Identifier( col[0] ), sql.SQL( col[1] ) ) )

    query = sql.SQL( "CREATE TABLE {tbl_name} ( {fields} );" ).format(
        tbl_name = sql.Identifier( name ),
        fields = sql.SQL( ', ' ).join( fields )
    )
    print( query.as_string(conn) ) # CREATE TABLE "mytable" ( "col1" TEXT, "col2" INTEGER );
    # Get cursor and execute...