问题 sqlite3_bind_text是否足以阻止iPhone上的SQL注入

鉴于声明：

const char *sql = "INSERT INTO FooTable (barStr) VALUES (?)";

是以下用途 sqlite3_bind_text （和相关的 sqlite3_bind_* 功能）足以防止SQL注入攻击？

sqlite3 *db; 
sqlite3_stmt *dbps;

int dbrc = sqlite3_open([dbFilePath UTF8String], &db); 
if (dbrc) { 
    // handle error
    return; 
} 

dbrc = sqlite3_prepare_v2 (db, sql, -1, &dbps, NULL);

sqlite3_bind_text(dbps, 1, [userContent UTF8String], -1, SQLITE_TRANSIENT);

dbrc = sqlite3_step(dbps);
if (SQLITE_DONE != dbrc) {
    // handle error
}

sqlite3_finalize (dbps); 
sqlite3_close(db);

12450

2018-05-23 09:32

起源

答案:

是的，如果您只将用户提供的数据传递给sqlite3_bind_ *函数，那么您就可以免受SQL注入攻击（这些攻击假定您动态构建查询字符串并且不会正确引用/转义用户提供的数据）。

11

2018-05-23 10:22

你能指点我一些证实那个的文件 sqlite3_bind_text SQL注入攻击的功能是否安全？我没有在文档中发现绑定会过滤某些字符的任何提示？（sqlite.org/c3ref/bind_blob.html） - Bruno Bieri

答案:

是的，如果您只将用户提供的数据传递给sqlite3_bind_ *函数，那么您就可以免受SQL注入攻击（这些攻击假定您动态构建查询字符串并且不会正确引用/转义用户提供的数据）。

11

2018-05-23 10:22

你能指点我一些证实那个的文件 sqlite3_bind_text SQL注入攻击的功能是否安全？我没有在文档中发现绑定会过滤某些字符的任何提示？（sqlite.org/c3ref/bind_blob.html） - Bruno Bieri

热门问题

不使用eval / new函数的JavaScript模板库当涉及内部类时，Java继承如何工作 .NET Windows服务的奇怪问题在.ipa或.app下查找App ID 快速入门XSLT参考[关闭] 如何找出Android应用程序中未使用的资源 Ruby中并发的同步方法[重复] 将std :: chrono :: system_clock :: time_point转换为struct timeval并返回 Google Drive API V3（javascript）更新文件内容 Bootstrap 3.0 - 将元素推到底部受密码保护的.NET ClickOnce部署？如何用postgresql安装wordpress coq Set或Type如何成为命题硒滚动元素进入（中心）视图在Spring Transaction JUnit测试中自动装配Hibernate会话的正确方法 Git的Dockerfile策略如何在FOS_PICKFOLDER中使用IFileDialog，同时仍在对话框中显示文件名在Firefox扩展中复制Google Chrome浏览器操作弹出效果 CakePHP找到MAX 芹菜 - 完成任务的召唤功能从使用fmemopen创建的流中读取宽字符 .NET是否为每个程序集创建一个字符串实习池？ DefaultModelBinder不绑定嵌套模型 Navigator.MediaDevices.getUserMedia（）使用了哪些相机通信标准？选择命名空间名称时应该知道什么？ cout Swagger Codegen CLI Java客户端 - 如何正确使用它一个很好的哈希函数用于采访整数，字符串？ Maven 3 ciManagement配置的目的是什么？如何通过语言文化获取代码页？