Экранирование символов в QT?

Question

[al_indigo]

Я пишу программу, которая работает с sqlite на QT 5.1. Только что с удивлением обнаружил, что вопреки документации, не происходит вообще никакого экранирования символов при подготовке запросов. То есть если случайно в тексте поставить запятую, кавычки или вообще подставить SQL код, QT никаким образом за этим не следит.


Пример кода для иллюстрации:

QSqlQuery injectTest(db);
QString test("asdasd, asd,' , ");
injectTest.prepare("UPDATE testtable SET text = :text WHERE id = 0");
injectTest.bindValue(":text", QVariant(test));
injectTest.exec();

При этом пытается выполниться следующий запрос (и естественно, он не может пройти):
UPDATE testtable SET text = asdasd, asd,' ,


В документации QT написано следующее: «Besides performance, one advantage of placeholders is that you can easily specify arbitrary values without having to worry about escaping special characters.»


В чём может быть дело? Я где-то лажаю, или это какой-то невероятный баг в QT?

Comments

[al_indigo]

тьфу, не до конца скопировал:

UPDATE testtable SET text = asdasd, asd,' ,  WHERE id = 0

Но это сути не меняет

[m08pvv]

А это точно не про экранирование символов, которые являются escape-последовательностями?

Answer 1

[al_indigo]

m08pvv: эскейп-последовательности он тоже не экранирует, я проверял. Так что вряд ли.

Подозревают, что я что-то делаю не так, потому что нагуглить на эту тему я ничего не смог

Comments

[m08pvv]

Сам с Qt не развлекался, но в теории должно работать.

[m08pvv]

Киньте сразу вопрос на форум Qt.

[abby]

Только что проверил на 5.1.0 все работает как и ожидалось.
Реализация bool QSqlResult::savePrepare(const QString& query) вызывает сомнения в плане эффективности, непонятно зачем два раза query менять, если есть поддержка именованых параметров:

    // parse the query to memorize parameter location
    d->executedQuery = d->namedToPositionalBinding(query);

    if (driver()->hasFeature(QSqlDriver::NamedPlaceholders))
        d->executedQuery = d->positionalToNamedBinding(query);

Не смотря на то, что sqlite вроде как поддерживает биндинг именовыных параметров, реализация sqlite драйвера в Qt это не учитывает, driver()->hasFeature(QSqlDriver::NamedPlaceholders) всегда возвращает false.
Может быть у вас какая-то другая реализация дравйвера, что такое поведение.
Так же советую обратить на формулировку в документации

Both syntaxes work with all database drivers provided by Qt. If the database supports the syntax natively, Qt simply forwards the query to the DBMS; otherwise, Qt simulates the placeholder syntax by preprocessing the query.

В моей версии Qt препроцессинг реализован в виде замены :VVV на ? и сохранения позиций «плэйсходеров», а вашей, судя по вашему комментарию, в виде простой подстановки значений.

Сделайте SSCCE и посмотрите дебаггером, быстрее будет.

[al_indigo]

abby: офигеть, и правда (db.driver())->hasFeature(QSqlDriver::NamedPlaceholders); говорит мне, что в моей сборке нет подстановки плэйсхолдеров. Как это может быть, ума не приложу — у меня сборка Desktop Qt 5.1.0 MSVC2010 32bit с сайта, сам я ничего не собирал.

То есть единственное, что я могу сделать, это собрать QT из исходников сам?