Q

SQL注入sqlite的全文搜索

2013-05-11 65 views 2 likes

2

考慮sqlite3的FTS4表SQL注入sqlite的全文搜索

c.execute("CREATE VIRTUAL TABLE docs USING fts4(content)")

是從SQL注入其中，TXT包含字符串以下安全嗎？

我不確定參數化查詢是否安全，因爲只有一個參數txt是一個字符串。

c.execute("SELECT * FROM docs WHERE docs MATCH (?)",(txt,))

2013-05-11 Sudhindra Bhat

A

回答

3

是的，它從SQL注入是安全的;那就是SQL參數是對於，要正確地轉義和引用txt。

如果你使用字符串格式化（"... MATCH ('%s')" % txt或" ... MATCH ('{}')".format(txt)，然後你會打開一個SQL注入載體，因爲你不會在txt被轉義元字符。

2013-05-11 20:53:30

相關問題

1. SQLite中的全文搜索
2. SQLite全文搜索目錄
3. PhoneGap，SQLite和全文搜索
4. 全文搜索SQL
5. SQL全文搜索
6. 搜索SQL注入日誌
7. 在SQLite中爲全文搜索索引創建SQL觸發器
8. sqlite的重量全文搜索
9. SQL全文搜索查詢？
10. SQL XML全文搜索
11. SQL Server全文搜索
12. SQL Compact 4 - 全文搜索？
13. SQL Server全文搜索
14. SQL全文搜索問題
15. sql server - 全文搜索
16. 沒有全文索引的SQL搜索
17. 在SQLite中優化全文搜索
18. SQLite FTS3 - 全文搜索多個表
19. 如何在SQLite全文搜索中排除搜索詞？
20. 全文搜索sql server輸入錯誤的文字
21. 最快的SQL全文搜索
22. RTF上的SQL Server 2012全文搜索
23. 在json上的sql server全文搜索
24. SQL Server和Oracle中的全文搜索
25. 全文搜索
26. 全文搜索
27. 全文搜索
28. 全文搜索
29. sql server全文搜索奇怪的搜索結果
30. cordova-sqlite-porter importSqlToDb sql注入