sqlite3_bind_text是否足以阻止iPhone上的SQL注入

Question

sqlite3_bind_text是否足以阻止iPhone上的SQL注入

bra*_*use 13 sqlite iphone sql-injection

鉴于声明:

const char *sql = "INSERT INTO FooTable (barStr) VALUES (?)";

Run Code Online (Sandbox Code Playgroud)

以下使用sqlite3_bind_text(和相关sqlite3_bind_*函数)是否足以防止SQL注入攻击？

sqlite3 *db; 
sqlite3_stmt *dbps;

int dbrc = sqlite3_open([dbFilePath UTF8String], &db); 
if (dbrc) { 
    // handle error
    return; 
} 

dbrc = sqlite3_prepare_v2 (db, sql, -1, &dbps, NULL);

sqlite3_bind_text(dbps, 1, [userContent UTF8String], -1, SQLITE_TRANSIENT);

dbrc = sqlite3_step(dbps);
if (SQLITE_DONE != dbrc) {
    // handle error
}

sqlite3_finalize (dbps); 
sqlite3_close(db);

Run Code Online (Sandbox Code Playgroud)

Answer 1

cme*_*erw 13

是的,如果您只将用户提供的数据传递给sqlite3_bind_*函数,那么您就可以免受SQL注入攻击(这些攻击假设您动态构建查询字符串并且不会正确引用/转义用户提供的数据).

您能指出一些文档，以确保sqlite3_bind_text函数可以免受SQL注入攻击吗？我没有在文档中找到任何暗示绑定将过滤某些字符的提示？（http://www.sqlite.org/c3ref/bind_blob.html） (2认同)

归档时间：	16 年，3 月前
查看次数：	6704 次
最近记录：	16 年，3 月前