我正在编写一个Webkit应用程序,用于从RSS源导入数据并将其存储在Javascript数据库中。由于数据来自外部源,因此我希望在将字符串插入数据库之前确保字符串已安全。例如在PHP中我会使用“mysql_real_escape_string”函数来逃避引号和其他字符。
理想情况下,我希望远离原生功能,以便可以使用WebKit在多个手机平台(iPhone,Blackberry,Android)上部署此应用。
链接到等效的PHP函数: http://php.net/manual/en/function.mysql-real-escape-string.php
链接到javascript数据库文档: https://developer.apple.com/library/archive/documentation/iPhone/Conceptual/SafariJSDatabaseGuide/UsingtheJavascriptDatabase/UsingtheJavascriptDatabase.html
示例代码:
目前是:
mydb.transaction(
function(transaction) {
transaction.executeSql("INSERT INTO rss (url,title) VALUES (?,?);",["www.some-rss-feed.com","a title containing a' quote"], successFunction, errorFunction);
}
);
理想情况下,它应该类似于以下内容,其中“a_safe_function”是使字符串对数据库安全的函数的名称。
mydb.transaction(
function(transaction) {
transaction.executeSql("INSERT INTO rss (url,title) VALUES (?,?);",[a_safe_function("www.some-rss-feed.com"),a_safe_function("a title containing a' quote")], successFunction, errorFunction);
}
);
我正在使用的库:
答案 0 :(得分:1)
分别传递查询和参数时,不必进行任何转义。
合并查询和参数是一个丑陋的事情,主要是针对PHP + MySQL,因为PHP没有在PDO之前单独传递查询和参数的正确方法 - 甚至现在很多人都没有使用PDO而是逃避它们的值(或者忘记它; x)并以协同方式构建SQL字符串:/