Как защитить запрос UPDATE от SQL-иньекций в SQLite?

Question

Александр Кислинский @Luonic

Студент, Unity3d, DotNet, Xamarin

Как защитить запрос UPDATE от SQL-иньекций в SQLite?

Разрабатываю на апач кордова мобильное приложение, необходимо хранить строку, которая может содержать опострофы
Плагин, используемый для доступа к sqlite не дает всей выразительности нативного использования sql запросов. К томуже, в интернете нашел примеры использования update только вида

UPDATE posts SET description = 'i'm robot', postTime = '1469983320000' WHERE UID = ?

Можно ли использовать запрос вида

UPDATE posts SET (description, postTime) VALUES (?,?) WHERE UID = ?

для того, чтобы избежать добавления в строку escape-апострофов (с ними строка "O'Brien" выглядела бы "O''Brien")?
Есть еще способы, кроме escape-апострофов?

Вопрос задан более трёх лет назад
244 просмотра

Комментировать

Подписаться 2 Оценить Комментировать

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

MySQL

+2 ещё

Средний
Как запросить по 2 записи из каждой категории с лучшим рейтингом?
- 1 подписчик
- вчера
- 71 просмотр
1

ответ
SQL

Простой
Как удалить записи с базы используя limit?
- 1 подписчик
- вчера
- 75 просмотров
1

ответ
SQL

Простой
Как преобразовать UNION-запрос в простой?
- 1 подписчик
- 01 мая
- 97 просмотров
1

ответ
HTML

+3 ещё

Простой
Flask вывод изображения из базы данных?
- 1 подписчик
- 30 апр.
- 89 просмотров
1

ответ
SQL

+1 ещё

Простой
Какую бд лучше выбрать?
- 1 подписчик
- 29 апр.
- 79 просмотров
1

ответ
Python

+1 ещё

Простой
Почему появляется ошибка «“)” syntax error»?
- 1 подписчик
- 27 апр.
- 76 просмотров
1

ответ
C++

+3 ещё

Средний
Почему Qt5 Не открывает БД Sqlite3?
- 2 подписчика
- 26 апр.
- 466 просмотров
1

ответ
SQLite

+1 ещё

Простой
SQLite3. Как добавить значение, где user_id равен message.chat.id?
- 1 подписчик
- 26 апр.
- 36 просмотров
0

ответов
PHP

+1 ещё

Простой
Где ошибка в коде при создании древа в sql из файла?
- 2 подписчика
- 24 апр.
- 113 просмотров
0

ответов
MySQL

+1 ещё

Простой
Как извлечь топ 15 очков из таблицы чтобы игроки не дублировались?
- 1 подписчик
- 22 апр.
- 136 просмотров
1

ответ
Показать ещё Загружается…

Тестировщик SQL

Bell Integrator • Санкт-Петербург

До 200 000 ₽

Программист SQL

АвтоАльянс • Москва

от 165 000 ₽

Программист SQL

САМО-Софт • Москва

До 220 000 ₽

Разработка онлайн OCR-сервис

03 мая 2024, в 23:20

20000 руб./за проект

Геопространственный редактор с интеграцией OCR

03 мая 2024, в 23:07

30000 руб./за проект

Отредактировать курсовую работу

03 мая 2024, в 23:00

400 руб./за проект

Answer 1 · 2016-08-13 10:59:41

Александр Кислинский @Luonic Автор вопроса

Студент, Unity3d, DotNet, Xamarin

В общем, нельзя использовать preapred statement в этом плагине. Я сделал в лоб замену одинарных апострофов на двойные регекспом.

Ответ написан более трёх лет назад

Комментировать

Answer 2 · 2016-07-31 21:11:01

Если платформа -- node.js, то: https://github.com/mapbox/node-sqlite3/wiki/API#da...
Если другой, то имеет смысл искать по запросу sqlite parameterized query

Answer 3 · 2016-07-31 21:59:24

https://www.sqlite.org/c3ref/prepare.html

Часто такое называют preapred statement или prepared query, так что гуглить полезно еще и по этим запросам).
А какой плагин-то?

Как защитить запрос UPDATE от SQL-иньекций в SQLite?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт