Question

У меня проблема с одинарной кавычкой в sql. Ниже приведено утверждение.

Если имя пользователя - Мама, как мне его выбрать? Я также хочу принять во внимание, что иногда мне, возможно, придется бежать ', а иногда нет

sqlStatement = [NSString stringWithFormat:@"SELECT * FROM USERS where NAME = '%@'",searchKeyword];

Спасибо!

nss · Answer 1 · 16 февраля 2011

Вы не должны создавать SQL-запрос вручную таким образом. Это открывает двери для SQL-инъекций всех видов, позволяя злонамеренному пользователю запускать произвольный SQL в вашей базе данных.

Вместо этого вы должны использовать связанные параметры. Смотри http://www.sqlite.org/c3ref/bind_blob.html

(я полагаю, вы собираетесь выполнить запрос SQLite).

Escape-цитата в SQL-выражении Object C

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Escape-цитата в SQL-выражении Object C

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов