SQLite 防注入及单引号/双引号处理(C++)

最新推荐文章于 2024-08-13 08:57:34 发布
最新推荐文章于 2024-08-13 08:57:34 发布
阅读量1.5k 收藏 3
点赞数 2
分类专栏: linux 数据库 动态库 文章标签: c++ sqlite mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41799721/article/details/107858312
版权
linux 同时被 3 个专栏收录
34 篇文章 1 订阅
订阅专栏
数据库
8 篇文章 0 订阅
订阅专栏
动态库
2 篇文章 0 订阅
订阅专栏

1. CppSQLite 库

SQLite 是一个用c写的超轻量级的开源数据库;
CppSQLite3 是对SQLite进行二次封装后的C++类, 使用时需要依赖 sqlite3 库及 sqlite3.h;

在 windows 环境下使用这个类的时候,你需要确保几件事情:
1. 你要下载下面 5 个文件。 https://github.com/neosmart/CppSQLite
       CppSQLite3.h 和CppSQLite3.cpp
       sqlite3.h、sqlite3.lib 和 sqlite3.dll (windows环境)
2. 工程中引入 sqlite3.lib,最后要将CppSQLite3.h 和CppSQLite3.cpp添加到工程中

2. 制作 CppSQLite3 动态库

// 制作 CppSQLite3 动态库
#ifdef XXXLIB_EXPORTS
#    define XXX_API  __declspec(dllexport)
#else
#    define XXX_API  __declspec(dllimport)
#endif

添加导出宏 XXX_API 及 [改进版]新增的 5 个函数

// CppSQLite3.h   
   //1. 类名前面增加导出符号 XXX_API
class XXX_API CppSQLite3Exception
class XXX_API CppSQLite3Buffer
class XXX_API CppSQLite3Binary
class XXX_API CppSQLite3Query
class XXX_API CppSQLite3Table
class XXX_API CppSQLite3Statement   // 这个是预编译,防注入用的
class XXX_API CppSQLite3DB

  // 2. CppSQLite3DB 类中增加 5 个函数
const char*   get_errormsg();
int           get_errorcode();
unsigned int  op_begin(const char *src_dbfile,const char *asdb);
unsigned int  op_append(const char *src_table,const char *dst_table,const char *key,const char *asdb);
unsigned int  op_end(const char *asdb);

 // 下面是对应的函数实现, 在 CppSQLite3.cpp 中增加
const char*  CppSQLite3DB::get_errormsg() {
    return sqlite3_errmsg(mpDB);
}

int  CppSQLite3DB::get_errorcode() {
    return  sqlite3_errcode(mpDB);
}

//
unsigned int CppSQLite3DB::op_begin(const char *src_dbfile,const char *asdb)
{
    // TODO: 判断 srcdbfile 是否文件存在    
    char sql[512];
    sprintf_s(sql,sizeof(sql),"detach database %s;",asdb);
    execDML(sql); // 分离数据库

    sprintf_s(sql, sizeof(sql),"attach DataBase '%s' as %s;",src_dbfile, asdb);
    int iError = execDML(sql);  // 附加数据库
    if ((iError) && (iError == get_errorcode()) ) {
        return -1;
    }

    iError = execDML("begin transaction;");
    return 0;
}

unsigned int CppSQLite3DB::op_append(const char *src_table, const char *dst_table, const char *key, const char *asdb)
{
    if (!tableExists(dst_table)) {
        return 0;
    }

    int iError = 0;
    char sql[512];
    if (key)
    {
        sprintf_s(sql,sizeof(sql),"delete from %s where %s.%s in (select %s from %s.%s);",dst_table, dst_table,key, key, asdb, src_table);
        iError = execDML(sql);
    }

    sprintf_s(sql,sizeof(sql),"insert into %s select A.* from %s.%s as A ;", dst_table, asdb, src_table);
    iError = execDML(sql);

    if (iError < 0) {
        return 0;
    }
    
    return iError;
}

unsigned int CppSQLite3DB::op_end(const char *asdb)
{
    char sql[64];
    sprintf_s(sql,sizeof(sql),"detach database %s;",asdb);  // 分离数据库
    int iError = execDML(sql);
    
    iError = execDML("commit transaction;");
    
    if (iError < 0) {
        return 0;
    }
    
    return iError;
}

3. sqlite 处理数据很慢的原因

sqlite在没有显式使用事务的时候会为每条 insert 都使用事务操作,而
sqlite数据库是以文件的形式存在磁盘中,就相当于每次访问时都要打开一次文件,
如果对数据进行大量的操作,时间都耗费在I/O操作上,所以很慢。

解决方法: 
显式使用事务的形式提交, 因为我们开始事务后,进行的大量操作的语句都保存在内存中,
当提交时才全部写入数据库,此时,数据库文件也就只用打开一次。

4. sqlite 处理单引号/双引号

错误处理方式:

//错误处理方式: 字符串拼接, 当 %s 本身包含 ' 或是 " 或是 一些注入攻击字符串时, 会出错.
CppSQLite3DB bsdb;
bsdb.open(file);
sprintf_s(dstsql,sizeof(dstsql),"insert into task_total (taskId,gdsId,taskName,taskBrief,taskDetail,beginTime,endTime) values (%llu,%u,'%s','%s','%s','%s','%s');",
(uint64)row[0], (DWORD)row[1], (const char*)row[2], (const char*)row[3], (const char*)row[4], (const char*)row[5],(const char*)row[6];
bsdb.execDML(dstsql);

正确处理方式:

//正确处理方式:借助 SQLite 的预编译 compileStatement 方法
char dstsql[1024]={0};
sprintf_s(dstsql, sizeof(dstsql), "INSERT INTO xxx (col1,col2,col3....) VALUES (?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?);");
CppSQLite3Statement stmt = bsdb.compileStatement(dstsql);

char srcsql[1024]={0};
sprintf_s(srcsql,sizeof(srcsql),"SELECT **** FROM **** WHERE ****;");
mysqlpp::Query query = sqlconn->m_conn->query(srcsql);
mysqlpp::UseQueryResult res = query.use();
for (;res;)
{
    mysqlpp::Row row = res.fetch_row();
    if (!row) break;
	//进行绑定
	int i = 0;
	for (;i<6; ++i)
	stmt.bind(i+1, (const int)row[i]);// int	
	
	for (;i<8; ++i)
	stmt.bind(i+1, (const double)row[i]);// float/double
	
	for (;i<16; ++i)
	stmt.bind(i+1, (const char*)row[i]);// char*		
	
	stmt.execDML();
}

参考
mysqlpp 封装了C++对MySQL操作
CppSQLite3 封装了C++对SQLite操作
CppSQLite3Statement参数绑定
SQLite 基础教程 [事务]
SQLite 基础教程 [附加]
SQLite 基础教程 [分离]

weixin_110
关注
专栏目录
《Python基础教程》内容总览篇(持续更新中)
weixin_43178406的博客
08-26 21万+
大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为CSDN博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的知识进行总结与归纳,不仅形成深入且独到的理解,而且能够帮助新手快速入门。个人精心开设的《Python基础课程》专栏订阅量接近900,帮助不少同学解决了Bug。
sqlite 双引号转义
Novice-XiaoSong的博客
06-13 2537
sqlite双引号是用"来转义的。("" :我是sqlite中的双引号) // 在uni-app 使用 plus.sqlite 进行数据库操作 /* CREATE TABLE sqlsTable( sqls VARCHAR(255) ) */ let sqls = [ `INSERT INTO table1(id) VALUES(1);`, `INSERT INTO table1(id) VALUES(2);` ] let sqlsStr = JSON.stringify(sqls); // .
java sqlite注入_SQLite 注入
weixin_31434215的博客
02-16 196
如果您的站点允许用户通过网页输入,并将输入内容插入到 SQLite 数据库中,这个时候您就面临着一个被称为 SQL 注入的安全问题。本章节将向您讲解如何防止这种情况的发生,确保脚本和 SQLite 语句的安全。注入通常在请求用户输入时发生,比如需要用户输入姓名,但用户却输入了一个 SQLite 语句,而这语句就会在不知不觉中在数据库上运行。永远不要相信用户提供的数据,所以只处理通过验证的数据,这项...
SQLiteCpp 开源项目安装与使用指南
最新发布
gitblog_00226的博客
08-13 458
SQLiteCpp 开源项目安装与使用指南 SQLiteCppSQLiteC++ (SQLiteCpp) is a smart and easy to use C++ SQLite3 wrapper.项目地址:https://gitcode.com/gh_mirrors/sq/SQLiteCpp 目录结构及介绍 在 SQLiteCpp 项目的根目录下, 主要包含以下主要子目录: example...
Sqlite插入单引号双引号防止sql注入
-凌凌漆-的博客
04-02 913
1. 方法 sqlite3_mprintf替换sprintf, '%q'替换'%s'. 2. 举例 修改前代码 //修改前, hello'123写入失败 char sql[1000] char* sql = sprintf("UPDATE table SET name = '%s' WHERE name_id = %d", "hello'123", 1); rc = sqlite3_exec(db, sql, NULL, NULL, &err
sqlite单引号处理
u010843408的专栏
06-15 1157
数据库表名 student 数据库表内容 id name class 1 li'ming 2 方法1: 双引号括起单引号 sql语句 : select * from student where name == "li'ming" 方法2 : 单引号替换成两个单引号 sql语句 : select * from student where name == 'li''ming' ...
python注入攻击_在python中使用sqlite的时候应注意防止注入攻击
weixin_32462499的博客
02-21 738
在python的文档中有大概这样一段描述:在使用sql语句操纵数据库的时候,不应该直接将字符串连接起来作为sql语句进行查询,因为直接将外部传入的字符串代入到sql语句中就会产生sql注入的问题。比如下面是一个错误的用法symbol = 'IBM'c.execute("... where symbol = '%s'" % symbol)#错误的用法,会带来sql注入在实际使用的时候,应该使用数据库...
使用c++17写的,将xyz格式的栅格瓦片转换为单个.mbtiles文件,便于数据迁移的程序。.zip
03-08
C++17是C++编程语言的一个版本,引入了许多新特性,如折叠表达式、if-constexpr语句、双引号包含文件等,提高了代码的效率和可读性。 在转换过程中,程序首先需要读取XYZ格式的瓦片,这可能涉及到文件I/O操作,以及...
sqlite换成mysql_从SQLITE的数据转到MYSQL
weixin_33994823的博客
01-18 905
接同事需求,要求从SQLITE的数据转到MYSQL,这东西以前也没接触过。这里搜搜,那里试试,下面把过程列一下。主要过程分三步:1,把SQLITE表结构导出来,作一定的格式调整2,把SQLITE数据导出来,作特殊字符的处理3,导出MYSQL(注意字符集)[@more@]下面是我操作的过程, 有两个部分:单表操作和批量处理(含脚本)########### 单表操作 #################...
delphi Sqlite
dkopg24406的专栏
08-13 1034
Delphi中SQLite如何读写二进制字段(Blob类型) 在Delphi中,有大量的组件可以操作SQLite数据库,如UniDAC就是其中一个比较优秀的,当然还有ASQLite3Components,也有SQLite3版的ODBC驱动,可直接用ADO操作。本文简要说明SynopseSQLite3读写二进制字段,先说下SynopseSQLite3的优点,静态编译集成SQLite3引擎...
使用Amalgamate将C/C++项目合并成一个.h/.c[pp]文件
weixin_33907511的博客
06-01 1241
简述 C/C++开源库一般是一堆的头文件和源文件,做到声明和实现分离,减小单个模块大小,这在设计上是很好的,但是用起来稍显麻烦。在网上看到有好心人推荐了一个开源工具Amalgamate,专门用来对C/C++的头文件和源文件进行合并用的,于是尝试了一下。 编译过sqlite源码的应该知道,sqlite3源码包有一个是指包含sqlite3.h、sqlite3_ext.h、sqlite.c等为数不多几个...
Python操作sqlite3快速、安全插入数据(注入)的实例
09-10
主要介绍了Python操作sqlite3快速、安全插入数据(注入)的实例,通过在一个表格中进行操作来论述如何使用Python快速安全地操作sqlite3,需要的朋友可以参考下
SQLite学习(十)SQLite注入问题的范、数据库文件导入和导出
Designer 小郑的技术博客
05-12 3182
本文讲解了SQLite中的SQL注入问题,以及SQLite中数据备份、数据还原、导出SQL文件的方法,用最简单的方法做最通俗的教学!
如何有效防止SQL注入
GentleSadness的博客
10-24 1655
参数化查询
sqlite中插入单引号
w_xue的专栏
01-15 7033
通常我们在数据库中插入数据时,为了防止数据中的特殊字符导致SQL语法错误,会在插入的内容前后加上单引号。 例如我们有如下数据表: CREATE TABLE `xs_sessions` ( `session_uuid` VARCHAR(36) NOT NULL, `teacher_uuid` VARCHAR(36) NOT NULL, `name` VARCHAR(128) NOT NU
SqLite数据库中单引号的转义
fxtxz2的专栏
08-10 8342
SqLite数据库的单引号转义是用单引号转义,并不是常用的"/" 参考:http://blog.csdn.net/qingflyer/article/details/6372498   sqlite3数据库在搜索的时候,一些特殊的字符需要进行转义, 具体的转义如下:      /   ->    //      '   ->    ''      [   ->    /[
针对Sqlite通过sqlite_master查询建表语句出现双引号和‘\r\n‘等问题的解决
WILDCHAP_的博客
12-03 478
事情是这样的,我在通过records的query方法获取数据表字段信息时发生了错误,通过debug找到错误发生在通过sqlite_master查询表,从而生成建表语句时,别的数据库建表语句都好好的,到他这就是各种换行双引号,如下图所示 之后我尝试了几种办法:把没问题的表复制一份改结构+填数据,把出问题的表放到没问题的数据库文件中等,都不管用,之后在Navicat sqlite的DDL页面中,发现只要我一对表进行操作,他的DDL语句就变了 解决: 所以就想到是不是Navicat sqlite默认的sqlit
android sqlite 单引号,sqlite 数据库 单引号 双引号转义问题
weixin_39614322的博客
05-27 614
sql语句中,字符串是用单引号来包括起来的,但是如果字符串中有奇数个单引号,就会出现错误,保存失败如:INSERT INTO stop (username,lineid,secid,stoptype,stopname,remark,isSS) VALUES ('5101','3553','5',1002,'MQXR9+o=','let's go',0);转义方法如下:+(NSString*)rep...
为什么sqlite3里用"?"作占位符就能防止sql注入
玉双龙
07-27 2675
Python sqlite3操作数据库的时候cur.execute(‘insert into t values (%d)’% num) 会被sql注入,但把占位符该成"?“就不会了。 那问题来了,”?"到底做了什么才防止了sql注入呢? "?"会把参数当做值来处理,不管参数是什么,都把它插入表就完事。 而直接的字符串拼接是把参数当做SQL语句的一部分,参数中有SQL语句的话,是有可能被执行的。 参...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值