哦，这个问题我之前也踩过坑！核心原因很明确：SQLite的参数化查询（也就是你用的?占位符）只能用来绑定数据值（比如WHERE子句里的条件值），完全没法用来替换列名、表名这类SQL标识符。当你把'name'作为参数传进去时，SQLite会自动把它转义成字符串字面量，相当于执行了SELECT 'name' FROM names——这就是为什么你得到的全是'name'这个字符串，而不是列里的实际数据。

解决方法：安全的动态列名拼接 #

要动态指定列名，你需要用字符串拼接生成SQL语句，但必须做好安全校验，避免SQL注入风险。具体步骤如下：

1. 预先定义允许查询的合法列名列表，限制输入范围
2. 校验传入的列名是否在合法列表内
3. 用字符串格式化把合法列名拼进SQL语句中

针对你的场景，修改后的代码示例：

import sqlite3

conn = sqlite3.connect('db.db')
c = conn.cursor()

# 第一步：定义允许查询的列名，杜绝恶意输入
allowed_columns = {'name'}
target_column = 'name'

# 第二步：校验列名合法性
if target_column not in allowed_columns:
    raise ValueError(f"非法列名：{target_column}")

# 第三步：安全拼接SQL并执行
c.execute(f'SELECT {target_column} FROM names')
print(c.fetchall())  # 正常输出：[('Bob',), ('Alice',), ('Jim',), ('Sally',)]

conn.close()

关键提醒：为什么必须做校验？ #

如果直接把未校验的用户输入拼进SQL，比如有人传入name; DROP TABLE names;，你的数据库会直接被恶意删除。预先定义合法列名列表，相当于给数据库加了一道安全锁，确保只有你允许的列能被查询。

另外补充你测试里的细节：SQLite中双引号"name"用来表示标识符（列名/表名），单引号'name'表示字符串字面量，这也是为什么两种写法输出结果完全不同的原因。

内容的提问来源于stack exchange，提问作者jxddk