Задать вопрос
Luonic
@Luonic
Студент, Unity3d, DotNet, Xamarin

Как защитить запрос UPDATE от SQL-иньекций в SQLite?

Разрабатываю на апач кордова мобильное приложение, необходимо хранить строку, которая может содержать опострофы
Плагин, используемый для доступа к sqlite не дает всей выразительности нативного использования sql запросов. К томуже, в интернете нашел примеры использования update только вида
UPDATE posts SET description = 'i'm robot', postTime = '1469983320000' WHERE UID = ?


Можно ли использовать запрос вида
UPDATE posts SET (description, postTime) VALUES (?,?) WHERE UID = ?
для того, чтобы избежать добавления в строку escape-апострофов (с ними строка "O'Brien" выглядела бы "O''Brien")?
Есть еще способы, кроме escape-апострофов?
  • Вопрос задан
  • 244 просмотра
Подписаться 2 Оценить Комментировать
Решения вопроса 1
Luonic
@Luonic Автор вопроса
Студент, Unity3d, DotNet, Xamarin
В общем, нельзя использовать preapred statement в этом плагине. Я сделал в лоб замену одинарных апострофов на двойные регекспом.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
Если платформа -- node.js, то: https://github.com/mapbox/node-sqlite3/wiki/API#da...
Если другой, то имеет смысл искать по запросу sqlite parameterized query
Ответ написан
Комментировать
https://www.sqlite.org/c3ref/prepare.html

Часто такое называют preapred statement или prepared query, так что гуглить полезно еще и по этим запросам).
А какой плагин-то?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы