我想这样查询:
SELECT lyrics FROM cache WHERE author=%s0, title=%s1 LIMIT 1;
应替换字符串%s0和%s1。假设未对字符串进行 过滤,UTF-8编码(作为数据库本身),简单的以null终止的char*数组。我有什么选择呢? SQLite(C API)中是否有为此内置的函数?
答案 0 :(得分:1)
就像注释中提到的那样,应该使用已经准备好的语句。
为什么要赞成准备好的陈述
当您自己创建SQL查询作为字符串时,它们几乎总是包含用户输入的一部分。攻击者可以例如通过使用'巧妙地更改查询的语义,从而获得对数据的未授权访问或破坏数据来利用此优势。
这称为SQL注入,是最严重的关键安全风险之一,请参见此处: https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf
防御
将准备好的语句与变量绑定(也称为参数化查询)一起使用是如何首先教所有开发人员如何编写数据库查询的方法。
如何在SQLite中使用准备好的语句
有关准备好的语句,请参见https://www.sqlite.org/c3ref/stmt.html。
基本步骤是:
示例
#include <stdio.h>
#include <stdlib.h>
#include "sqlite3.h"
void exit_with_error(sqlite3 *db, const char * msg) {
fprintf(stderr, "%s: %s\n", msg, sqlite3_errmsg(db));
sqlite3_close(db);
exit(1);
}
int main() {
sqlite3 *db;
sqlite3_stmt *stmt;
int rc = sqlite3_open("path-to-lyrics", &db);
if (rc != SQLITE_OK)
exit_with_error(db, "can't open db: ");
//create prepared statement
rc = sqlite3_prepare_v2(db, "SELECT lyrics FROM cache WHERE author=?1 AND title=?2 LIMIT 1;", -1, &stmt, 0);
if (rc != SQLITE_OK)
exit_with_error(db, "failure fetching data: ");
//bind values to parameters
sqlite3_bind_text(stmt, 1, "Don Brownrigg", -1, SQLITE_STATIC);
sqlite3_bind_text(stmt, 2, "Just Breathe", -1, SQLITE_STATIC);
//run the SQL
rc = sqlite3_step(stmt);
if (rc == SQLITE_ROW) {
printf("%s\n", sqlite3_column_text(stmt, 0));
}
//destroy the object to avoid resource leaks
sqlite3_finalize(stmt);
sqlite3_close(db);
return 0;
}
构建
使用CMake时,它看起来可能像这样:
cmake_minimum_required(VERSION 3.14)
project(sqlitequery C)
set(CMAKE_C_STANDARD 99)
add_executable(sqlitequery main.c)
target_link_libraries (sqlitequery sqlite3)
在命令行上,可以使用以下内容进行构建:
gcc -Wall -Wextra main.c -lsqlite3 -o sqlitequery