标签：mysql sql-injection c-3 sanitization parameterized-query

我正在编写一个C应用程序,它接受一些用户输入并执行一些数据库查询.我很清楚SQL注入的风险,并希望防止它.

理想情况下,我会使用参数化查询,但到目前为止无法在C中找到任何具有此功能的内容.我目前正在构建我的查询：

char *query;
asprintf(&query, "UPDATE SomeTable SET SomeField='%s';", userInput);

如果我无法做到这一点,那么我必须过滤用户输入.该过滤应该如何进行？是否只删除所有和’s？(有效输入不能包含它们).如果是这样,在C中执行此操作的最简单方法是什么？

解决方法:

我相信你想使用预准备语句和参数绑定.不要直接将用户数据插入到查询中.有关此信息,请参阅MySQL manual.

标签：mysql,sql-injection,c-3,sanitization,parameterized-query
来源： https://codeday.me/bug/20190614/1237349.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。