0
我使用sqlite-porter與importSqlToDb()。但現在我遇到了單個配額或字符串中帶有反斜槓的問題。有沒有解決方案?我想寫這樣的sql查詢:「INSERT INTO Artist(Id,Title)VALUES('1','Fred's ball \ shoe');」;並且不能使用參數。cordova-sqlite-porter importSqlToDb sql注入
在此先感謝價值觀
A
回答
0
單引號應該在SQLite的(see here)採用雙單引號進行轉義。反斜槓和文字一樣好。所以,你應該使用:
"INSERT INTO Artist(Id,Title) VALUES ('1','Fred''s ball \ shoe');";
的example project爲cordova-sqlite-porter包含complex example這說明在值字符串使用單引號和反斜槓,例如:
INSERT INTO [Artist] ([ArtistId], [Name]) VALUES (88, 'Guns N'' Roses');
INSERT INTO [Track] ([TrackId], [Name], [AlbumId], [MediaTypeId], [GenreId], [Composer], [Milliseconds], [Bytes], [UnitPrice]) VALUES (3435, 'Cavalleria Rusticana \ Act \ Intermezzo Sinfonico', 302, 2, 24, 'Pietro Mascagni', 243436, 4001276, 0.99);
相關問題
- 1. SQL注入
- 2. 盲SQL注入
- 3. TableAdapters SQL注入
- 4. mysqli_stmt_bind_param SQL注入
- 5. DocumentDB Sql注入?
- 6. SQL Server注入
- 7. 笨SQL注入
- 8. MSAccess SQL注入
- 9. SQL注入法
- 10. EJB3 SQL注入
- 11. Rails SQL注入?
- 12. SQL注入$ db-> query($ sql)?
- 13. Linq到SQL和SQL注入
- 14. SQL防止SQL注入
- 15. SQL注入涉及
- 16. Rails 5 SQL注入
- 17. 是從SQL注入
- 18. 檢測SQL注入
- 19. Doctrine和SQL注入
- 20. LINQ和SQL注入
- 21. Sql注入問題
- 22. 防止SQL注入
- 23. Sql注入查詢
- 24. SQL注入幫助
- 25. Kohana ORM&SQL注入
- 26. 軌find_by SQL注入
- 27. Hibernate和SQL注入
- 28. SQL注入難題
- 29. SqlCeResultSet和SQL注入
- 30. SQL注入漏洞
你好,是的,這是正確的!但是我從一個服務中獲得這個字符串,這個字符串就像'Guns N'Roses'一樣。所以,如果我使用參數創建sql查詢,就不會有問題,因爲它會處理單引號。我不能使用正則表達式來替換單引號,因爲我從服務接收到的這個字符串可以包含像「
無論你如何做,你都需要在數值中加倍轉義單引號。即使它們包含在HTML中,也可以使用正則表達式。它只需要忽略屬性中的單引號。像這樣:'/>(?:[^ <'] *(')[^ <'] *)* DaveAlden