ios-SQL语句注入的情况

最新推荐文章于 2019-04-11 11:24:09 发布
最新推荐文章于 2019-04-11 11:24:09 发布
阅读量637 收藏
点赞数
分类专栏: ios-Swift
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZCMUCZX/article/details/78229976
版权

运用FMDB框架中选择SQL语句是单条语句去执行,还是多条语句去执行,这个是有讲究的。

就比如说我们写了个函数,然后我们给name参数传入的是"王五',0,0); DELETE FROM T_table; --",这样的话打印出来的语句就是

INSERT INTO T_Person (name,age,height) VALUES ('王五',0,0); DELETE FROM T_table; --',18,1.7);

这样子的话就相当于是执行了前面的语句之后遇到了分号,然后再去执行了Delete的操作,把表中的数据都删除了。之前就有出现过,在注册用户名的时候,有人这么填写,导致数据删除的操作,所以我们最好选择单句SQL语句执行。其中SQLiteManager.sharedManager是去取单例对象,queue是队列属性

 func demo(name:String)
   {
    //1、书写SQL
    let sql = "INSERT INTO T_table (name,age,height) VALUES ('\(name)',18,1.7);"
    
    print(sql)
    //2、执行SQL语句,这里用Statements是多步执行的意思
    SQLiteManager.sharedManager.queue.inDatabase { (db) in
        db.executeStatements(sql)
    }
使用这个就可以了db.executeUpdate(sql, values: nil)

在SQL中 ? 表示占位符,如果我们执行的语句中有?,SQLite会先去编译SQL,再去执行的时候,会动态的绑定数据,也可以避免注入的情况,当我们如果使用了占位符来操作,

拼接字符串的时候就不用单引号了。

我们可以这么执行

  let sql = "INSERT INTO T_Person (name,age,height) VALUES (?,?,?);"
        SQLiteManager.sharedManager.queue.inDatabase { (db) in
            if db.executeUpdate(sql, withArgumentsIn: ["王五,0,0); DELETE FROM T_Person; --",18,1.9])
            {
                print("插入数据成功")
            }
            else
            {
                print("插入数据失败")
            }




rv0p111
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ios-简单记事本.zip
07-11
这些操作可以通过FMDB的SQL语句执行接口完成: 1. 增加(INSERT):使用`[database executeUpdate:@"INSERT INTO table_name (column1, column2) VALUES (?, ?);", value1, value2]`,这里的`table_name`是表名,`...
ios-GCDB.zip
07-11
GCDB的设计理念是简化SQL语句的执行过程,同时确保原生性能和高效性,使开发者能够更专注于业务逻辑,而非数据库的底层细节。 在iOS应用开发中,数据持久化是必不可少的一部分,它使得应用的数据能够在用户关闭应用...
iOS_常用的SQL语句
weixin_34256074的博客
12-13 85
/*简单约束*/ CREATE TABLE IF NOT EXISTS t_student(id INTEGER PRIMARY KEY AUTOINCREMENT, name TEXT, age INTEGER); CREATE TABLE IF NOT EXISTS t_student(id INTEGER PRIMARY KEY AUTOINCREMENT, name TEXT NOT NU...
IOSSQL语句
a283127993的专栏
04-12 948
以下我们就建立数据库、建立资料表及索引、新增资料、查询资料、更改资料、移除资料、sqlite3命令列选项等几个项目做简单的介绍。 目录         1 建立数据库档案         2 在sqlite3提示列下操作         3 SQL的指令格式         4 建立资料表         5 建立索引         6 加入一笔资料         7 查询
iOS sql基本语句
芷江的博客
02-19 249
1、导入 libsqlite3.0.tbd库 2、#import <sqlite3.h> 3、执行语句 -(void)querySqlString:(NSString*)sql{     NSString * cachePath  = [NSSearchPathForDirectoriesInDomains(NSCachesDirectory, NSUserDomainMask...
ios-简单登录注册.zip
07-11
- 应用程序应该遵循安全编码原则,防止SQL注入、XSS攻击等网络安全威胁。 9. **测试**: - 测试是保证代码质量的关键步骤,可能包括单元测试和集成测试,使用XCTest进行测试编写。 10. **用户体验**: - 设计...
ios-SQLite封装工具类.zip
07-11
- **创建表**:根据模型类动态生成SQL语句,创建数据表结构。 - **插入数据**:将模型对象转化为SQL语句进行插入操作。 - **查询数据**:提供查询接口,可以按条件、范围等方式获取数据,并将查询结果转化为对象...
ios-数据库操作FMDB和WCDB.zip
07-11
4. **SQL预编译**:WCDB支持SQL语句的预编译,提高执行效率,并减少SQL注入的风险。 5. **事务与批处理**:WCDB提供异步事务和批处理操作,允许在主线程之外进行大量数据库操作,避免阻塞UI。 6. **查询与游标**:...
iOSSQL语句详解
qwe845751403的博客
12-08 1839
SQL的使用步骤大致都差不多,接下来的这些方法能带你学习实用的SQL语句和函数的使用
iOS学习 数据库 SQL语句
ridxmc的博客
07-18 607
实用SQL语句大全: http://www.php100.com/html/webkaifa/database/Mysql/2012/0720/10713.html /*简单约束*/ CREATE TABLE IF NOT EXISTS t_student(id INTEGER PRIMARY KEY AUTOINCREMENT, name TEXT, age INTEG
iOS中的sql语句写法
BearsG
08-08 784
SQL语法 1.注释 /注释多行/ 注释单行 2.不区分大小写 3.每条语句后必须加分号 4.字符串使用单引号括起来 5.字段类型:text->字符串类型 integer->整型 real->浮点型 /DDL语句/ 1.创建表-- 格式1: CREATE TABLE 表名(字段名1 字段1类型, 字段名2 字段2类型,...); -- CREATE TABLE t_Student('name'
iOS_SQL语句详解
feiyuyuan_9257的博客
10-15 255
// 需要在静态区定义一个指针 (让这个指针指向的对象 从程序开始到结束 一直存在 程序结束后被系统自动释放) static sqlite3 *db = nil; // 打开数据库 - (sqlite3 *)openDB { // 判断数据库是否存在 如果存在直接返回 // 不存在 则创建一个并打开 if (db != nil) { return...
[IOS][sqlite][SQL][数据库]SQL基本语句大全
weixin_34107955的博客
08-18 77
参考:http://www.cnblogs.com/yubinfeng/archive/2010/11/02/1867386.html     一、基础 1、说明:创建数据库CREATE DATABASE database-name 2、说明:删除数据库drop database dbname3、说明:备份sql server--- 创建 备份数据的 deviceUSE masterEXE...
iOS开发---SQL语句大全
volitory的博客
02-25 592
iOS开发---SQL语句大全  经典SQL语句大全 数据库 CREATE DATABASE database-name  2、说明:删除数据库 drop database dbname 3、说明:备份sql server --- 创建 备份数据的 device USE master EXEC sp_addumpdevice 'disk', 'testBack
iOS FMDB+SQL语句~demo
石虎
08-07 1193
//联系人:石虎  QQ: 1224614774昵称:嗡嘛呢叭咪哄 /** 注意点: 1.看 GIF 效果图.        2.看连线视图的效果图.        3.看实现代码(直接复制实现效果).        4.看实现代码 MVC 架构 */ 一、GIF 效果图: 二、连线视图的效果图: 图1:
sql注入的几种方法
偏爱mango的小姐姐的博客
04-11 453
1.(简单又有效的方法)PreparedStatement 采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。 使用好处: (1).代码的可读性和可维护性. (2).PreparedStatement尽最大可能提高性能. (3).最重要的一点是极大地提高了安全性. 原理: sql注入只对sql语句的准备(编译)过程有破坏作用 而PreparedS...
ysgc-ios-v2.0.0.ipa
最新发布
09-08
ysgc-ios-v2.0.0.ipa是一个iOS应用的安装包文件。IPA是iOS Application的缩写,是苹果公司用于在iOS设备上安装和分发应用程序的文件格式。 ysgc-ios-v2.0.0.ipa代表该应用的版本为2.0.0,并且该应用是为iOS平台设计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值