C往 SQLITE 中插入字符串时 ' 和 " 的转义

本文讨论了C语言中生成SQL语句时遇到的问题,特别是如何正确转义字符串以避免SQL注入风险。通过提供一个自定义函数`xm_escape_string`,演示了如何安全地处理字符串,确保生成的SQL语句不会因未转义字符而引发问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

C 中经常需要这样生成 sql 语句:

sprintf(sql, "INSERT INTO data(cmd) VALUES(\"%s\");", cmd);

当 cmd 为   echo "ab   时, 

C 中 cmd 为  "echo \"ab"

sql 为 "INSERT INTO data(cmd) VALUES(\"echo \"ab\");"

会在 ab 前面发生截断. 

cmd 的内容需要转义,将 ' 转义为 '' (两个单引号), " 转移为 ""(两个双引号).
以下为实现

/*
 * author: dengzhaoqun
 * date: 2012/10/23
 */
char *xm_escape_string(const char *str)
{
	char *bak;
	int len;
	int i;
	int j;
	
	len = strlen(str);
	bak = (char *)malloc((len * 2 + 1) * sizeof(char));
	if(bak == NULL)
	{
		fprintf(stderr, "malloc failed\n");
		return NULL;
	}
	memset(bak, 0, len * 2 + 1);
	
	j = 0;
	for(i=0; i<len; i++)
	{
		if((str[i] == '"') || (str[i] == '\''))
		{
			bak[j] = str[i];
			j++;
		}
		
		bak[j] = str[i];
		j++;
	}
	
	return bak;
}

我曾尝试将 cmd 中 \ 转义为 \\ , " 转义为 \", ' 转义 为 \", 但结果提示 sqlite 不能解析.

参考: http://blog.youkuaiyun.com/ameyume/article/details/8007149

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值