Строка кодирования для вставки SQLite

Question

Я использую функцию sqlite3_exec () для выполнения команды SQL Insert.Проблема начинается, когда мне нужно вставить строки, которые должны быть закодированы.

Например, я хочу вставить следующую строку: "f ('hello')".Если я хочу вставить эту строку, мне нужно изменить «» на «».

Мой вопрос: как мне кодировать эти строки?Есть ли функция, на которую я могу рассчитывать?или таблица, которая детализирует все необходимые коды?

Спасибо!: -)

Answer 1

Вместо того, чтобы вручную экранировать строки (которые подвержены ошибкам и вызывают атаки с использованием SQL-инъекций), я настоятельно рекомендую использовать подготовленные операторы и значения связывания; читать о sqlite3_bind_XXX и sqlite3_prepare_v2

Answer 2

Использование значений связывания решит эту проблему, а также ускорит sqlite, поскольку он запоминает ранее выполненные операторы sql и может повторно использовать их планы выполнения.Это не работает, когда оператор SQL всегда немного отличается, потому что он хэширует полный оператор SQL.

Answer 3

«Может быть», вы должны использовать что-то вроде готового утверждения.Я не эксперт по SQLite, но я нашел эту ссылку (http://www.sqlite.org/c3ref/stmt.html), и она может вам помочь. Это объект SQL Statement.

Answer 4

sqlite_mprintf поддерживает %q для этого.