if (!query.exec("SELECT * from torrents WHERE name LIKE '%" + search_query + "%'"))
{
qDebug() << "Unable to select";
}Интересуют методы борьбы с sql инъекциями, в интернете только на php попадается по поиску
Полная версия этой страницы: Защита от SQL инъекций
Добрый день, реализую клиет серверное приложение. Клиент передает QString search_query, а сервер начинает поиск в базе данных MySQL:
Интересуют методы борьбы с sql инъекциями, в интернете только на php попадается по поиску
Интересуют методы борьбы с sql инъекциями, в интернете только на php попадается по поиску
Ну вообще защита от SQL инфекций должна быть на сервере. И c++ тут не при чем. Вам скорее нужен профильный по SQL форум. Ну если вкратце и примитивно то нужно как можно сильнее урезать возможности пользователя под которым логинится клиент. В частности убрать прямой доступ к табличкам и организовать работу с ними через процедуры.
+ используется экранирование параметров - вычищаются спецсимволы. У mysql есть спецфункции, например real_escape_string
вычищение всех возможных спецсимволов - довольно хитрая задача. так, с ходу я не напишу. в PHP это довольно жирная процедура, которая проверяет кучу возможностей.
я думаю, что такие вещи уже написаны и существуют в виде библиотек. поищи в сети, наверняка найдёшь что-то подобное.
я думаю, что такие вещи уже написаны и существуют в виде библиотек. поищи в сети, наверняка найдёшь что-то подобное.
Цитата(Iron Bug @ 15.10.2013, 9:52) 
в PHP это довольно жирная процедура, которая проверяет кучу возможностей.
угу, она там делает чистку в зависимости от кодировки соединения, иначе проку от неё мало будет.Может тут есть полезное
Упоминается подготовка запроса (binding/prepare) в качестве умного подхода, вместо выполнения запроса как произвольной строки.
Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.