处理字符串中的特殊字符，同时将其存储到sqlite上的记录中。

Question

在下面的代码中，我看到当我的“描述”类似于：" ' ' "时，我在将描述更新到sqlite记录时遇到了问题。我该如何处理“角色”。谢谢!

sql = wxString::Format(
"UPDATE event SET event_description='%s' WHERE id=%d",
description.c_str(),
event_id);
rc = sqlite3_exec((sqlite3 *)_theDB, sql.c_str(), NULL, 0, &sqlError);

“任择议定书”回答了他自己的问题：

检查一下这个常见问题，我们需要替换字符串中的“with”

Answer 1

将描述字符串中的所有单引号加倍是一种方法。这样可以避免恶意描述(请参阅鲍比桌)。

 ' ' 

变成：

 '' '' 

更重要的是，潜在的危险描述：

' WHERE 1=1 DELETE FROM Event --

变成无害的人：

'' WHERE 1=1 DELETE FROM Event --

另一种(更安全的)方法是使用准备好的陈述。