编码字符串以便插入 SQLite

Question

我正在使用 sqlite3_exec() 函数来执行 SQL 插入命令。当我需要插入需要编码的字符串时，问题就开始了。

例如，我想插入以下字符串：“f('hello')”。如果我想插入这个字符串，我需要将“'”更改为“''”。

我的问题是，如何对这些字符串进行编码？有我可以信赖的功能吗？或者详细说明所有所需编码的表格？

谢谢！ :-)

Answer 1

sqlite_mprintf 支持 %q 。

Answer 2

“也许”你应该使用类似准备好的声明之类的东西。我不是 SQLite 专家，但我发现这个链接 (http://www.sqlite.org/c3ref/stmt.html) 它可以帮助你。它是关于 SQL 语句对象的。

Answer 3

我强烈建议使用准备好的语句和绑定值，而不是手动转义字符串（这很容易出错并引发 SQL 注入攻击）；阅读 sqlite3_bind_XXX 和 sqlite3_prepare_v2

Answer 4

使用绑定值可以解决这个问题，并且还可以使 sqlite 更快，因为它会记住以前执行的 sql 语句，并且可以重用它们的执行计划。当 sql 语句总是略有不同时，这不起作用，因为它对完整的 sql 语句进行了哈希处理。