运用FMDB框架中选择SQL语句是单条语句去执行,还是多条语句去执行,这个是有讲究的。
就比如说我们写了个函数,然后我们给name参数传入的是"王五',0,0); DELETE FROM T_table; --",这样的话打印出来的语句就是
INSERT INTO T_Person (name,age,height) VALUES ('王五',0,0); DELETE FROM T_table; --',18,1.7);
这样子的话就相当于是执行了前面的语句之后遇到了分号,然后再去执行了Delete的操作,把表中的数据都删除了。之前就有出现过,在注册用户名的时候,有人这么填写,导致数据删除的操作,所以我们最好选择单句SQL语句执行。其中SQLiteManager.sharedManager是去取单例对象,queue是队列属性
func demo(name:String)
{
//1、书写SQL
let sql = "INSERT INTO T_table (name,age,height) VALUES ('\(name)',18,1.7);"
print(sql)
//2、执行SQL语句,这里用Statements是多步执行的意思
SQLiteManager.sharedManager.queue.inDatabase { (db) in
db.executeStatements(sql)
}
使用这个就可以了db.executeUpdate(sql, values: nil)
在SQL中 ? 表示占位符,如果我们执行的语句中有?,SQLite会先去编译SQL,再去执行的时候,会动态的绑定数据,也可以避免注入的情况,当我们如果使用了占位符来操作,
拼接字符串的时候就不用单引号了。
我们可以这么执行
let sql = "INSERT INTO T_Person (name,age,height) VALUES (?,?,?);"
SQLiteManager.sharedManager.queue.inDatabase { (db) in
if db.executeUpdate(sql, withArgumentsIn: ["王五,0,0); DELETE FROM T_Person; --",18,1.9])
{
print("插入数据成功")
}
else
{
print("插入数据失败")
}