Как защитить запрос UPDATE от SQL-иньекций в SQLite?

Question

Александр Кислинский @Luonic

Студент, Unity3d, DotNet, Xamarin

Как защитить запрос UPDATE от SQL-иньекций в SQLite?

Разрабатываю на апач кордова мобильное приложение, необходимо хранить строку, которая может содержать опострофы
Плагин, используемый для доступа к sqlite не дает всей выразительности нативного использования sql запросов. К томуже, в интернете нашел примеры использования update только вида

UPDATE posts SET description = 'i'm robot', postTime = '1469983320000' WHERE UID = ?

Можно ли использовать запрос вида

UPDATE posts SET (description, postTime) VALUES (?,?) WHERE UID = ?

для того, чтобы избежать добавления в строку escape-апострофов (с ними строка "O'Brien" выглядела бы "O''Brien")?
Есть еще способы, кроме escape-апострофов?

Вопрос задан более трёх лет назад
244 просмотра

Комментировать

Подписаться 2 Оценить Комментировать

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+2 ещё

Простой
Как избежать race condition при вставки новой записи в бд SQL, PHP?
- 1 подписчик
- вчера
- 110 просмотров
1

ответ
Python

+1 ещё

Простой
Почему возникает ошибка AttributeError: 'Database' object has no attribute 'cursor'?
- нет подписчиков
- 26 окт.
- 95 просмотров
1

ответ
SQLite

Простой
Пытаюсь сохранить данные в бд и выдаёт ошибку. Как решить?
- 1 подписчик
- 22 окт.
- 84 просмотра
1

ответ
SQLite

+1 ещё

Простой
Почему не работает порядочность в боте на aiogram?
- 1 подписчик
- 19 окт.
- 56 просмотров
1

ответ
SQLite

+1 ещё

Простой
Что лучше вытаскивать данные из БД(sqlite) или хранить в неких переменных?
- 1 подписчик
- 17 окт.
- 117 просмотров
2

ответа
SQL

Простой
Есть ли что то наподобие hackerrank sql с ответами?
- 2 подписчика
- 15 окт.
- 90 просмотров
1

ответ
SQL

+1 ещё

Простой
Как взять максимальный квартал в каждом году?
- 2 подписчика
- 15 окт.
- 151 просмотр
1

ответ
SQL

+1 ещё

Средний
Как сформировать отчёт с записями чей интервал не попадет в условие отбора?
- 2 подписчика
- 14 окт.
- 200 просмотров
1

ответ
SQL

Простой
Где ошибка в SQL запросе к полю содержащему XML?
- 2 подписчика
- 10 окт.
- 111 просмотров
2

ответа
SQL

+2 ещё

Средний
Что съело место на DPM сервере?
- 1 подписчик
- 09 окт.
- 110 просмотров
1

ответ
Показать ещё Загружается…

Разработчик sql

РашенСофт

от 80 000 до 150 000 ₽

Разработчик приложений (Oracle, SQL/PL SQL) г. Москва

Бристоль • Москва

от 219 000 ₽

Аналитик SQL в Индию

Wanted. • Москва

До 3 000 $

Дизайн главной страницы сайта-агрегатора мероприятий Workevent

02 нояб. 2024, в 17:19

20000 руб./за проект

Добавить поддержку прокси в софт Python, внести дополнительные правки

02 нояб. 2024, в 17:06

10000 руб./за проект

Доработать скрипт на Python для обработки данных от сканера QR кодов

02 нояб. 2024, в 16:54

5000 руб./за проект

Answer 1 · 2016-08-13 10:59:41

Александр Кислинский @Luonic Автор вопроса

Студент, Unity3d, DotNet, Xamarin

В общем, нельзя использовать preapred statement в этом плагине. Я сделал в лоб замену одинарных апострофов на двойные регекспом.

Ответ написан более трёх лет назад

Комментировать

Answer 2 · 2016-07-31 21:11:01

Если платформа -- node.js, то: https://github.com/mapbox/node-sqlite3/wiki/API#da...
Если другой, то имеет смысл искать по запросу sqlite parameterized query

Answer 3 · 2016-07-31 21:59:24

https://www.sqlite.org/c3ref/prepare.html

Часто такое называют preapred statement или prepared query, так что гуглить полезно еще и по этим запросам).
А какой плагин-то?

Как защитить запрос UPDATE от SQL-иньекций в SQLite?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт