Символ собачка в строке?

Question

[Евгений Петряев]

Использую такой запрос:

std::string query = "SELECT * FROM users WHERE email="+login+" and password="+md5(pass);

в логин записан эмейл адрес, вывод такой:

похоже обрезается собачкой строка

Answer 1

[edward_freedom]

std::string query = "SELECT * FROM users WHERE email='"+login+"' and password='"+md5(pass)+ "'";

Comments

[Mercury13]

Опасно внедрением SQL-кода!

[edward_freedom]

Mercury13, это уже вопрос не ко мне, я лишь его код поправил

Answer 2

[Mercury13]

Какую СУБД вы используете? Не думали работать с подготовленными запросами?

SELECT * FROM users WHERE email=? and password=?;

Comments

[Евгений Петряев]

[Mercury13]

mysql_stmt_prepare(handle, sql.data(), sql.length());

st_mysql_bind binds[2];
// Заполни его как надо, [0] = login, [1] = password
mysql_stmt_bind_param(handle, binds);

[Евгений Петряев]

Mercury13, а зачем мне это?

[Mercury13]

Евгений Петряев,
Так работают «подготовленные запросы» MySQL.
Чем они хороши.

1. СУБД преобразует SQL во внутренний код — и у одинаковых запросов с разными параметрами будет один и тот же код.
2. Штатная защита от внедрений SQL-кода. Гугли «Робин-брось-таблицу».

[Евгений Петряев]

Mercury13, скажи лучше как быть если ответ будет пустой? Точнее как это определить

[Mercury13]

Евгений Петряев, Что значит «пустой ответ»? Ни единой строчки не вышло?

[Евгений Петряев]

Mercury13, значит что ошибка в логине или пароле при запросе и ответ пустая строка, вот код:

bool DataBaseConnection::Authorization(std::string login,std::string pass)
{
	std::string query = "SELECT * FROM users WHERE email='"+login+"' and password='"+md5(pass)+"'";
	const char* q = query.c_str();
	qstate = mysql_query(conn, q);
	if (!qstate)
	{
		res = mysql_store_result(conn);
		
		while (row = mysql_fetch_row(res))
		{
			printf("ID: %s,nick: %s,email: %s, pass: %s , date: %s\n", row[0], row[1], row[2],row[3],row[4]);
			//vectordrum.push_back(row[4]);
		}
		return true;
	}
	else
	{
		std::cout << "Query failed:" << mysql_error(conn) << std::endl;
		return false;
	}
}

[Mercury13]

С точки зрения MySQL есть два вопроса — с экранированием логина и освобождением памяти.
А с тем, что mysql_fetch_row даёт false уже на первой строчке — это уже вопрос архитектуры программы.

Так что мои советы.
1а. С освобождением памяти — оберните дескрипторы MySQL в автодеструкторы. Например (из нашей внутренней библиотеки):

namespace maria {

    class Res
    {
    public:
        constexpr Res() = default;
        constexpr Res(MYSQL_RES* x) noexcept : fD(x) {}
        Res(const Res&) = delete;
        Res(Res&& x) noexcept { operator = (std::move(x)); }
        Res& operator = (const Res& x) = delete;
        Res& operator = (Res&& x) noexcept;

        ~Res() { close(); }

        const MYSQL_RES& d() { return *fD; }
        void close() noexcept;
        bool next();
        std::wstring tableName() const;
        const char* at(size_t i) const { return fRw[i]; }
    private:
        MYSQL_RES* fD = nullptr;
        MYSQL_ROW fRw = nullptr;
    };

} // ns maria

maria::Res& maria::Res::operator = (Res&& x) noexcept
{
    close();
    fD = x.fD;
    fRw = x.fRw;
    x.fD = nullptr;
    return *this;
}


void maria::Res::close() noexcept
{
    if (fD) {
        mysql_free_result(fD);
        fD = nullptr;
    }
}


bool maria::Res::next()
{
    if (!fD)
        return false;
    return (fRw = mysql_fetch_row(fD));
}

1б. Такую же обёртку напишите для экранирования строк (у меня нет, у меня всё работает на подготовленных запросах).

2. Пусть проблема с MySQL будет аварией, пользователь прошёл — true, пользователь не прошёл — false.

namespace maria {

    class Ex : public std::logic_error
    {
    private:
        using Super = std::logic_error;
    public:
        Ex(const char* x) : Super(x) {}
    };

} // ns maria

void maria::doThrow(MYSQL* aHandle)
{
    const char* r = mysql_error(aHandle);
    if (r)
        throw Ex(r);
}


void maria::throwIf(
        MYSQL* aHandle,
        const void* aResult)
{
    if (!aResult)
        doThrow(aHandle);
}


void maria::throwIf(
        MYSQL* aHandle,
        int aResult)
{
    if (aResult != 0) {
        //std::cout << "Result is " << aResult << std::endl;
        doThrow(aHandle);
    }
}

…
    fState = State::CONNECTED;
    auto v = mysql_real_connect(
                fHandle, aServer, aLogin, aPassword, aDb, aPort, nullptr, 0);
    throwIf(fHandle, v);

[Евгений Петряев]

Mercury13, много кода нового непонятного

[Mercury13]

Евгений Петряев, Первое — это обёртка (на Си++11) над дескриптором MySQL, которая умеет:
• не копировать, только перемещать
• уничтожать объект
• инкапсулировать пару функций

Второе — это методика, как вываливать аварии, если при вызове какой-то функции случилось нехорошее.
То есть проверяем возвращаемое значение, и если оно нехорошее, получаем текст ошибки и с этим текстом выкидываем аварию.

[Mercury13]

Почему maria, кстати — одно из ответвлений MySQL (более «открытое», кстати, чем ныне принадлежащая Oracle’у СУБД) называется MariaDB. Написана тем же автором — просто его первую дочь звали Мю (он финн, потому пишется как My), вторая Мария.