Экранирование или использование строки C в операторе SQL

Question

Экранирование или использование строки C в операторе SQL

0

Я использую API-интерфейс Connector C для подключения к базе данных mysql. У меня проблема с использованием значения строки ac в инструкции sql.

char *somequery = "SELECT username, password from tableABC WHERE username='john'";

Вышеуказанное работает отлично, если я пользователь простой текст "john". Но если я заменил его на строку (которая установлена ранее в программе), она не работает и разбивается с ошибкой 500.

char *ghob = "john";
char *somequery = "SELECT username, password from tableABC WHERE username=ghob";

Я пробовал несколько вещей, но безуспешно. Любая помощь будет оценена по достоинству.

Ahmad Bilal 10 авг. 2018, в 11:33

Источник

Теги:

mysql

string

sql

c

escaping

1 ответ

Ещё вопросы

kiran Biradar · Accepted Answer · 2018-08-10T07-25-00.000Z

sprintf() позволяет хранить форматированные данные в виде строки. Используя sprintf(), вы можете сохранить значение ghob в somequery.

Как показано ниже.

#define MAX_QUERY_LENGTH 1024 //defines max possible query lengh

char *somequery = malloc(sizeof(char) * MAX_QUERY_LENGTH);
char *ghob = "bobmarley";
sprintf(somequery, "SELECT username, password from tableABC WHERE username='%s'",ghob);

Или же

char somequery[MAX_QUERY_LENGTH];
char *ghob = "bobmarley";
sprintf(somequery, "SELECT username, password from tableABC WHERE username='%s'",ghob);

В любом случае все должно быть хорошо.

  printf("%s", somequery);

печать somequery приведет к

SELECT username, password from tableABC WHERE username='bobmarley'

SQL-запрос не требует одинарных кавычек? username = '% s' - правильный путь?
Мы всегда напоминаем людям, что эта простая вставка текста не является качеством продукции: xkcd.com/327
@GemTaylor Было бы полезно, если бы вы добавили ответ с указанием причины.
Кстати, используемая строка очищена, ограничена по размеру, завершена нулем и правильно экранирована ... мне все еще нужно беспокоиться, Джем?
Хорошо, если это уже продезинфицировано, тогда, возможно, хорошо. В какой-то момент вы должны выполнить конкатенацию строк :-)
Да, вам нужно достаточно памяти, чтобы вместить всю строку. Статически или динамически размещается.
Я отредактировал свой ответ, посмотрите.
char somequery [MAX_QUERY_LENGTH]; char * ghob = "bobmarley"; sprintf (somequery, "ВЫБЕРИТЕ имя пользователя, пароль из таблицы ABC, ГДЕ имя пользователя = '% s'", ghob);
Если копирование происходит между объектами, которые перекрываются в результате вызова sprintf () или snprintf (), результаты не определены. @AhmadBilal получил ваше мнение,
оставьте свой последний комментарий как есть, так как это будет полезно для других. Остальное вы можете удалить.