qt SQL注入攻击与事务

于 2024-09-11 16:25:30 发布
阅读量1.1k 收藏 20
点赞数 23
文章标签: qt sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43168163/article/details/142140661
版权

一、QSqlQuery

        在QT中,QSqlQuery用来执行sql语句操作,通常使用一下两个函数来进行相关的操作:

1.使用给定的数据库驱动执行对应的sql语句

explicit QSqlQuery(const QString& query=QString(), QSqlDatabase db=QSqlDatabase());

    

2.使用给定的数据库创建QSqlQuery对象,但不执行任何操作

explicit QSqlQuery(QSqlDatabase db);

         下面给出一段代码更详细,直观的介绍上面两个函数:

//1. 使用第一种 假定数据库已经打开 对象为db
QSqlQuery query("select * from user",db);
//query会直接执行查询操作
while(query.next())
{
    ...
}


//2. 使用第二种 
QSqlQuery query(db);
QString sql = "select * from user";
//query不会执行查询操作 需要query.exec(sql)才会执行查询操作
query.exec(sql);
while(query.next())
{
    ...
}

二、SQL注入攻击

        什么时SQL注入攻击?即攻击者在进行一些sql语句操作时,构建特殊的输入作为参数传入,(SQL语法里的一些组合),从而欺骗数据库执行操作得到非法授权的数据。其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。

        常见的SQL注入攻击构建的一条语句为: 'OR '1=1。如:

//假如传入的username = bob 'OR'1=1

QString sql = "select * from user where username =' " + username + "'";

//拼接后的语句

sql = "select *from user where username = ' bob ' OR ' 1=1' ";

//这样 1=1这个条件一直为真,sql语句一执行,就会把user表中所有数据打印出来

 那怎么避免SQL注入攻击了?

        使用prepared Query。主要步骤如下:

// username = bob' or '1=1
QString sql = "select * from user where usename = :username";
// 1.创建QSqlQuery对象
QSqlQuery query(db);
// 2.使用prepared语句 自动解析sql语句
query.prepared(sql);
// 3.使用bindValue替换占位符
query.bindValue(":username",username);
// 4.执行query操作
query.exec();
while(query.next())
{
    ...
}

注意:1.占位符,在QT中,可以使用 :+ 任意字符串作为占位符的形式

           2.bindValue()执行后,默认给字符串加上了引号''

三、使用占位符遇到的一个问题 

        在使用占位符的操作时,遇到一个问题,虽然这个问题有点搞笑,但还是分享一下,希望各位在用到时,可以引以为鉴。

代码如下:

 
//首先创建数据驱动
    QSqlDatabase db = QSqlDatabase::addDatabase("QMYSQL");
    //基本的设置
    db.setHostName("127.0.0.1");
    db.setPort(3306);
    db.setUserName("root");
    db.setPassword("1234");
    db.setDatabaseName("qt_db");
 
    //打开数据库 建立连接
    bool isok = db.open();
 
    if(isok)
    {
        qDebug() << "success" ;
        QString aa = "%o%";
        QString sql = "SELECT * FROM user WHERE username LIKE:match";
        QSqlQuery query;
        query.prepare(sql);
        query.bindValue(":match", aa);
        if(!query.exec(sql))
        {
            qDebug() << query.lastError().text();
        }
        while(query.next())
        {
            qDebug() << QString("Id: %1, Username: %2, Password: %3")
                                .arg(query.value("id").toInt())
                                .arg(query.value("username").toString())
                                .arg(query.value("password").toString());
        }
        return 0;
    }else
    {
        qDebug() <<"fail " << db.lastError();
        return -1;
    }

各位看出什么问题了吗?在上面执行了一个模糊查询,但在运行代码的时候,就会打印下面的错误:

success
"You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ':match' at line 1 QMYSQL: Unable to execute query"

其实,这里问题也很简单,就是query.exec()。这query.exec(sql),会执行sql中的sql语句,而在此之前,已经声明了使用prepared来解析sql语句,所以这就造成了冲突,解析的语句并没有被执行,反而执行了原语句sql。所以,只要记住,使用了prepared后,query.exec()不需要再加任何参数。

四、QT 事务 

        事务,是并发控制的单位。是用户定义的一个操作序列,这些操作要么都执行,要么都不执行,是一个不可分割的整体。通过事务,能将逻辑相关的一组操作绑定在一起,保证了数据的完整性。

        在QT中,事务相关的函数如下

1.查询是否支持事务:bool QSqlDriver::hasFeature(DriveFeature feature) const

2.开启事务: bool QSqlDatabase::transaction()

3.提交事务: bool QSqlDatabase::commit()

4.回滚事务: bool QSqlDatabase::rollback()

        具体代码如下:

//已有QSqlDatabase对象db
bool isOK = db.driver()->hasFeature(QSqlDriver::Transcations);
//如果支持事务
if(isOK)
{

   //打开事务
   db.transaction();

   QSqlQuery query1("insert into user (id,username,password) values (1,'peter','123')",db);
   QSqlQuery query2("insert into user (id,username,password) values (4,'andy','xxx')",db);
    
   ...
   if(query1.exec() && query2.exec())
   {
    db.commit();
   }
   else
   {
    db.rollback();
   }

}

        执行上面代码 ,由于原表中已经存在id=1的情况,所以query1执行失败,query2执行成功。但是,更新数据库发现,两个数据都没用更新在表中。

        使用事务,能在处理大规模数据时,提高效率和性能。以下是针对网上的两个问题进行的测试,可以酌情采纳。

        1. 开启事务、数据库更新、提交事务|回滚事务不在同一个函数是否可行

            测试代码如下:

void MainWindow::openTransaction(const QString &connectionName)
{
   QSqlDatabase db = getConnectionByName(connectionName);
   db.transaction();
   comRollTransaction(connectionName);
}

int MainWindow::updateDatabase(QSqlDatabase database)
{

    QSqlQuery query1("insert into user (id,username,password) values (1,'peter','123')",database);
    QSqlQuery query2("insert into user (id,username,password) values (4,'andy','xxx')",database);

    if(query1.exec() && query2.exec())
    {
        //如果两个query都执行成功,就提交事务
        return 0;
    }
    else
    {
        qDebug() << query1.lastError().text();
        qDebug() << query2.lastError().text();
        return -1;
    }

}

void MainWindow::comRollTransaction(const QString &connectionName)
{
    QSqlDatabase db = getConnectionByName(connectionName);
    int rs = updateDatabase(db);
    if(rs == 0)
    {
        db.commit();
    }else
    {
        db.rollback();
    }
}

测试结果和上面案例一样。由此可见,开启事务、数据库更新、提交事务|回滚事务不在同一个函数是可行的,因为事务是面向数据库连接的

        2.要向 user 表里插入 100000 个用户:1.开启事务每次插入 1000 个2.不使用事务插入 1 个

           测试代码如下:

QSqlDatabase db = getConnectionByName(connectionName);
    //默认的用户名
    QString name = "xxx";

    qDebug() << "当前时间:" <<QString::number(QDateTime::currentMSecsSinceEpoch());

    for(int i = 0; i < 100; i++)
    {
        QString sql = "insert into user (id,username,password) values (:userid,:namem,:word)";
        QSqlQuery query(db);
        query.prepare(sql);
        query.bindValue(":userid",QString("%1").arg(i+4));
        query.bindValue(":namem",name);
        query.bindValue(":word",QString("123%1").arg(i));

        if(!query.exec())
        {
            qDebug() <<"error";
        }
    }


//    db.transaction();
//    int count = 0;
//    for(int i = 0; i < 100; i++)
//    {
//        QString sql = "insert into user (id,username,password) values (:userid,:namem,:word)";
//        QSqlQuery query(db);
//        query.prepare(sql);
//        query.bindValue(":userid",QString("%1").arg(i+4));
//        query.bindValue(":namem",name);
//        query.bindValue(":word",QString("123%1").arg(i));

//        if(!query.exec())
//        {
//            db.rollback();
//        }

//        count++;

//        //对1000求余
//        if( i % 10 == 0)
//        {
//            db.commit();
//            db.transaction();
//        }

//    }

//    //如果还有剩余的插入,则提交剩下的事务
//    if(count % 10 != 0)
//    {
//        db.commit();
//    }

//    db.close();

    qDebug() << "当前时间:" <<QString::number(QDateTime::currentMSecsSinceEpoch());

由于100000条数据太大,这里改用100条数据。当使用一个一个数据插入时,耗时大概在387ms,而使用事务时,耗时在83ms,由此可见,事务的作用是非常大的。

小白N+
关注
QT开发】SQL查询QSqlQuery类详解及实战应用
科技改变人类,技术成就未来
07-15 1877
QSqlQueryQt提供的一个功能强大且灵活的SQL查询类,能够方便地与数据库进行交互。通过本篇文章的学习,你应该对QSqlQuery有了全面的理解,能够在自己的项目中正确使用它。QSqlQuery在用户界面中帮助你更好地管理和处理数据库数据,实现高效的数据库操作,有助于创建用户友好和高效的数据驱动应用场景。
Qt:QSqlQuery
最新发布
QtCompany的博客
02-25 4703
QSqlQuery提供了执行SQL代码的方法。 QSqlQuery封装了在QSqlDatabase中查询、检索数据的相关函数。它可以用来执行如SELECT、INSERT、UPDATE、DELETE等方法,也可以执行如CREATE TABLE等语句。 顺利执行SQL语句后,调用isActive()就会返回true。一个激活的Query一定会产生一个合法的记录(isValid()返回true),从这个记录中可以提取到需要的数据。 对某些数据库而言,如果有一个诸如SELECT的Query是激活状态,那么当我
Qt数据库事务
“时光清浅,不觉多年”的博客
06-17 1125
事务的最大的功能就是保证数据库操作的原子性。 启动事务之后,如果没有异常,则可以正常提交;如果操作过程中有任何的异常,则回滚至开始的状态。 Qt数据库事务操作示例代码如下(仅做演示用,没有进行相应的判断功能): #include <QSqlDatabase> #include <QSqlQuery> #include <QSqlError> #include <QMessageBox> #include <QSqlDriver> #includ
Qt-数据库开发-事务提交(3)
mahuifa的博客
12-09 2700
1. 通过QSqlTableModel将数据库内容直接显示到QTableView中,直观的显示和修改数据库中的数据; 2. 程序启动时自动创建一个数据库,并创建一个表写入默认测试数据,可选择创建文件数据库还是内存数据库; 3. 写入测试数据时演示了QSqlQuery的五种不同的插入数据方式; 4. 在界面上修改内容后不会立即保存到数据库中,需要点击提交按键才一次性将所有修改的内容保存到数据库; 5. 如果在界面上修改了内容,还没有提交事务时可以选择还原所有修改内容。
QT 使用数据库事务处理
飞浪纪元FE的博客
12-28 1247
【代码】QT 使用数据库事务处理。
QT_SQL_querymodel.rar_Qt SQL Server_qt sql_qt 数据库_qt+sql_sql qt
09-14
8. **数据安全**:在实际应用中,注意 SQL 注入攻击,避免直接拼接用户输入到 SQL 查询中,应使用参数化查询或预编译语句。 9. **性能优化**:合理设计数据库结构,使用索引提高查询速度,避免全表扫描。同时,注意...
SQL.rar_Qt数据库_qt sql_qt 数据库_qt 数据库操作_qt数据库
09-23
7. **预编译语句**: 使用QSqlQuery的prepare()方法可以预编译SQL语句,提高性能,防止SQL注入攻击。 8. **数据库模型视图架构**: QtQTableView、QSqlTableModel等组件可以与数据库直接绑定,实现数据库数据的直观...
Qt访问SQL Server数据库
07-05
9. **安全考虑**:在访问数据库时,应遵循最佳实践,比如使用参数化查询来防止SQL注入攻击,以及在不使用时及时关闭数据库连接。 10. **编码与编码转换**:由于数据库和应用程序可能使用不同的字符集,因此理解字符...
QT数据库的使用(QSQLITE)(四 事务的使用以及注意事项 )
光顶术士的博客
10-13 6464
QT QSqlite数据库事务的使用以及注意事项QSqlite 的事务(transaction)事务:对数据库的操作要么全部执行,要么全部不执行;1.判断自己的数据库是否有事务功能:2.如果为true,可以使用开启:sql语句的执行以上都是正常操作原因:谢谢~~~ QSqlite 的事务(transaction) 事务:对数据库的操作要么全部执行,要么全部不执行; 1.判断自己的数据库是否有事务功能: 在数据库连接成功后,打印以下:结果 true | false qDebug() <<"th
Qt模块化笔记之sql——事务处理的实现
qt爱好者
11-04 7750
所谓事务处理,即将一些sql语句“分块”执行。如果都执行成功了,我们可以commit提交它(让它真正执行),如果其中一处有误,我们可以rollback回滚它(让这个块里的语句都相当于没有执行)。 网上找到的一个例子,可以看出它 举例:你去银行转账,转账我们有两步吧,从你账户中取出钱再往他账户中加钱。那这两步银行是必须要确保正确无误的进行的。要被看做成一个事务。其中任何一步出错就算是转账失败
qt mysql 事务处理_QT数据库中的事务处理
weixin_35375774的博客
01-28 963
db->transaction();QSqlQuery query;query.exec("DROP TABLE track");query.exec("DROP TABLE cd");query.exec("DROP TABLE artist");query.exec("CREATE TABLE artist (""id INTEGER PRIMARY KEY, ""name VARCHA...
qt数据库事务
bangtanhui的博客
07-16 1005
数据库事务,为了保证一系列操作都进行,或者都不进行,一般用于大批量处理数据,以防程序因为中途崩溃而产生bug。 【举个简单的例子,图书馆借书流程: 1、学生借书,刷条形码以及学生卡; 2、系统显示该书库存少一件; 3、系统记录借书人的id和姓名。】 如果系统进行到第二步完成后突然炸了,那么岂不是该书显示被借走了,库存少了,但却没有借书人的信息。为了避免这种问题,引入数据库事务。 这里做一个简单的qt使用事务的例子,供自己今后查阅。 QString createTable; QSqlQuery qu
QT sqllite单条插入速度极慢【数据库 采用事务
IT嵌入式小生
04-23 859
事务是在数据库上按照一定的逻辑顺序执行的任务序列,既可以由用户手动执行,也可以由某种数据库程序自动执行。 事务实际上就是对数据库的一个或者多个更改。当你在某张表上创建更新或者删除记录的时,你就已经在使用事务了。控制事务以保证数据完整性,并对数据库错误做出处理,对数据库来说非常重要。 事务:对数据库的操作要么全部执行,要么全部不执行; QSqlDatabase db; { // 省略打开数据库操作 } //开启事务 db.transaction(); { //省略进行插入数据库操作
qt sql事务操作(转)
b8151410的博客
09-09 614
事务数据库的一个重要功能,所谓事务是用户定义的一个数据库操作序列,这些操作要么全做要么全不做,是一个不可分割的工作单位。在Qt中用transaction()开始一个事务操作,用commit()函数或rollback()函数进行结束。commit()表示提交,即提交事务的所有操作。具体地说就是将事务中所有对数据库的更新写回到数据库事务正常结束。rollback()表示回滚,即在事务运行...
十一、Qt数据库操作之事务
panchang199266的博客
02-03 1757
案例如下 void transactionDemo() { QSqlDatabase conn = QSqlDatabase::addDatabase("QMYSQL"); conn.setHostName("localhost"); conn.setPort(3306); conn.setDatabaseName("qt_db"); conn.setUse...
Qt数据库入门与QtSql模块解析
此外,还提到了Qt数据库模块QtSql,它是Qt用于数据库操作的一组类,通过包含`<QtSql>`头文件并在工程文件中添加`QT += sql`来使用。" 在深入探讨Qt数据库之前,让我们先回顾一下Qt的基础知识。Qt是一个跨平台的C++...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值