Question

考虑以下代码

char bar[] = "hello world \"One\", two, 'three'";
char *zSQL = sqlite3_mprintf("INSERT INTO stuff (`foo`) VALUES ('%q');", bar ) ; 
sqlite3_exec(db, zSQL, 0, 0, 0);
sqlite3_free(zSQL);
/* Produces a exception error */

问题是引号在SQL语句中没有被转义。如果我在PHP中编程，我会使用像sqlite_escape_string这样的函数来转义字符串，然后再将它们插入SQL查询中，但我似乎无法在C ++中找到等效的函数。我可以构建我自己的sqlite_escape_string函数，但我确信必须有一个已经编写/测试过...

c ++是否有sqlite_escape_string（）等效函数？

Answer 1

没有。使用绑定参数。

请参阅：
http://www.sqlite.org/c3ref/prepare.html
http://www.sqlite.org/c3ref/bind_blob.html

Answer 2

你有许多人提出的同样问题。没有任何内置的东西。

字符串连接的更好解决方案是bind parameters，它可以回避逃避问题。

SQLite转义字符串c ++

2 个答案: