C往 SQLITE 中插入字符串时 ' 和 " 的转义

最新推荐文章于 2022-08-19 15:03:21 发布
最新推荐文章于 2022-08-19 15:03:21 发布
阅读量5k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: C/C++ 文章标签: sqlite c cmd insert null sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dengzhaoqun/article/details/8104015
本文讨论了C语言中生成SQL语句时遇到的问题,特别是如何正确转义字符串以避免SQL注入风险。通过提供一个自定义函数`xm_escape_string`,演示了如何安全地处理字符串,确保生成的SQL语句不会因未转义字符而引发问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

C 中经常需要这样生成 sql 语句:

sprintf(sql, "INSERT INTO data(cmd) VALUES(\"%s\");", cmd);

当 cmd 为   echo "ab   时, 

C 中 cmd 为  "echo \"ab"

sql 为 "INSERT INTO data(cmd) VALUES(\"echo \"ab\");"

会在 ab 前面发生截断. 

cmd 的内容需要转义,将 ' 转义为 '' (两个单引号), " 转移为 ""(两个双引号).
以下为实现

/*
 * author: dengzhaoqun
 * date: 2012/10/23
 */
char *xm_escape_string(const char *str)
{
	char *bak;
	int len;
	int i;
	int j;
	
	len = strlen(str);
	bak = (char *)malloc((len * 2 + 1) * sizeof(char));
	if(bak == NULL)
	{
		fprintf(stderr, "malloc failed\n");
		return NULL;
	}
	memset(bak, 0, len * 2 + 1);
	
	j = 0;
	for(i=0; i<len; i++)
	{
		if((str[i] == '"') || (str[i] == '\''))
		{
			bak[j] = str[i];
			j++;
		}
		
		bak[j] = str[i];
		j++;
	}
	
	return bak;
}

我曾尝试将 cmd 中 \ 转义为 \\ , " 转义为 \", ' 转义 为 \", 但结果提示 sqlite 不能解析.

参考: http://blog.youkuaiyun.com/ameyume/article/details/8007149

sqlite 双引号转义
Novice-XiaoSong的博客
06-13 2645
sqlite中双引号是用"转义的。("" :我是sqlite中的双引号) // 在uni-app 使用 plus.sqlite 进行数据库操作 /* CREATE TABLE sqlsTable( sqls VARCHAR(255) ) */ let sqls = [ `INSERT INTO table1(id) VALUES(1);`, `INSERT INTO table1(id) VALUES(2);` ] let sqlsStr = JSON.stringify(sqls); // .
C++ Sqlite3的使用方法
12-17
SQLite3简介 SQLite3只是一个轻型的嵌入式数据库引擎,占用资源非常低,处理速度比Mysql还快,专门用于移动设备上进行适量的数据存取,它只是一个文件,不需要服务器进程。 SQL语句是SQL操作的指令,我们用C/C++访问数据库,需要用char*即C字符串来保存SQL语句,然后调用相应sqlite3库的函数,传入C字符串,来执行SQL指令。 常用术语:表(table)、字段(column,列,属性)、记录(row,record)。 |SQL(structured query language)语句 特点:不区分大小写,每条语句后加”;”结尾。 关键字:select、inse
SqLite数据库中单引号转义
fxtxz2的专栏
08-10 8422
SqLite数据库的单引号转义是用单引号转义,并不是常用的"/" 参考:http://blog.youkuaiyun.com/qingflyer/article/details/6372498   sqlite3数据库在搜索的候,一些特殊的字符需要进行转义, 具体的转义如下:      /   ->    //      '   ->    ''      [   ->    /[
SQLite】如何插入单引号(')的字符串
editkiller的专栏
01-14 8106
在保存文本,有会提示出错,有可能是文本中含有单引号,那如何插入单引号(')的字符串? 将所有单引号替换为两个单引号,保存到SQLite数据库中自动恢复为单引号,也就是说使用双单引号即可,例如: INSERT INTO xyz VALUES('5 O''clock'); 插入数据库的是:5 0'clock。
记录C#转义符实现sql带双引号
baidu_38995168的博客
08-19 775
C#实现sql带双引号提交
基于sqlite特殊字符转义的实现方法
12-16
这样处理后,可以安全地将转义后的字符串用于LIKE查询,比如`SELECT * FROM table WHERE number LIKE '%/%%' ESCAPE '/'`。 在实际应用中,通常会遇到的情况是用户输入的数据可能包含这些特殊字符,例如在搜索框中...
C#/.Net 中快速批量给SQLite数据库插入测试数据
09-03
这里使用string.Format方法生成SQL语句,注意对字符串中的单引号进行转义,防止SQL注入攻击。 5. 在每次执行完100万条插入操作后,更新控制台输出,显示已插入的行数,方便观察进度。 6. 循环结束后,调用Console....
sqlite需要存入字符串怎么办
12-04
2. 插入字符串数据: ```sql INSERT INTO Users (name, email) VALUES ('张三', 'zhangsan@example.com'); ``` 3. 查询字符串数据: ```sql SELECT name, email FROM Users WHERE name = '张三'; ``` 4. 更新...
sqlite中“字符写入
最新发布
03-08
### 如何在 SQLite插入字符串数据 #### 处理特殊字符的方法 对于包含特殊字符(如单引号)的字符串,可以采用两种主要方式来确保成功插入: - **转义特殊字符** 当需要插入含有单引号或其他可能引起SQL语法...
sqlite3 字符转义问题
c/c++、x86汇编、Win32汇编、逆向、破解
05-31 1240
c.execute("INSERT INTO tb_info (id, summary) VALUES ('%s', '%s')" % (id ,summary)) 经常会因为要插入文本summary中有特殊字符而导致失败,可以用以下方法,数据库会自动帮你转义: c.execute("INSERT INTO tb_info (id, summary) VALUES (?, ?)" % (i...
sqlite html 转义字符,基于sqlite特殊字符转义的实现方法
weixin_28824127的博客
06-03 348
select* fromtablewhere number like '%/%%' escape '/'...sqlite3数据库在搜索的候,一些特殊的字符需要进行转义, 具体的转义如下:/ -> //' -> ''[ -> /[] -> /]% -> /%& -> /&_ -&...
C#中的转义字符
无界编程
03-24 4317
a 警铃 /b 退格 /f 换页 /n 新的一行 /r 回车 /t 水平制表符 /v 垂直制表符 /0 空 / 单引号 / 双引号 // 反斜线符号 /r/n回车换行 
sqlite转义报错
zhangya_no1的专栏
08-21 500
网上提供方法: ,SQLite转义单引号,是将一个单引号'转义成为''(两个单引号)… 用str_repace替换下:$safeword=str_replace("\'","''",$safeword);就行了 我用的方法:  使用selecti
数据库SQLSQLite语句单引号、双引号的用法
weixin_33901641的博客
05-23 924
最近编程操作数据库语句的候出现一些问题。 关于Insert字符串 ,在(单引号,双引号)这个方面发生了问题,其实主要是因为数据类型变量在作怪。 下面我们就分别讲述,虽然说的是Insert语句, 但是Select、Update、Delete语句都是一样的。 假如有下述表格: mytabe 字段1 username ...
C#如何使用转义字符来正确的表示双引号、单引号字符串
Finder_Way
09-16 4674
一、什么是转义字符   转义字符是一种特殊的字符常量;以反斜线"\"开头,后跟一个或几个字符。具有特定的含义,不同于字符原有的意义,故称“转义”字符。   二、转义字符的作用   主要用来表示那些用一般字符不便于表示的控制代码。它的作用是消除紧随其后的字符的原有含义;用一些
SQLite 防注入及单引号/双引号处理(C++)
heyuye110
08-07 1610
C++ 在数据库操作往往是字符串拼接方式, 但是很容易的掉坑里---单引号双引号问题. 本文总结了 C++ 处理 MySQLSQLite 场见操作
sql的存储过程里面转义'单引号
Jyson程序之路
11-07 1万+
下面的语句:   v_sql:=' select * from scott.emp where name='swith' '; 应该改为: v_sql:=' select * from scott.emp where name=''swith'' '; 很明确:两个单引号在动态sql中可以表示一个单引号 如select ' ' ' '  结果为: '
SQLITE中文编码转换的问题终于解决了。
热门推荐
牛栏札记
04-09 2万+
SQLITE中文编码转换的问题终于解决了。从数据库取的候直接用rs.getBytes("username")取得byte[],而不是用rs.getString("username")取STRING。通过取得的BYTE来转即可以得到正常的中文,否则怎么转都是乱码。byte[] val = rs.getBytes(cols_name); data.put(cols_name, new
C/C++操作SQLite
10-08 938
最近几天在学习sqlite3,颇有点收获,下面介绍一下简单用法:1.先下载sqlite3.hsqlite3.c(如果不知道怎么下载的话就去www.sqlite.org)如果要编译成lib。则需要用到sqlite3.def 文件。具体要把sqlite3.def放到我们vs安装目录的的bin目录下。利用lib.exe来生成 sqlite3.lib。命令为: LIB /DEF:sqlite3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值