Q

SQL注入sqlite的全文搜索

2013-05-11 62 views 2 likes

2

考虑sqlite3的FTS4表SQL注入sqlite的全文搜索

c.execute("CREATE VIRTUAL TABLE docs USING fts4(content)")

是从SQL注入其中，TXT包含字符串以下安全吗？

我不确定参数化查询是否安全，因为只有一个参数txt是一个字符串。

c.execute("SELECT * FROM docs WHERE docs MATCH (?)",(txt,))

2013-05-11 Sudhindra Bhat

A

回答

3

是的，它从SQL注入是安全的;那就是SQL参数是对于，要正确地转义和引用txt。

如果你使用字符串格式化（"... MATCH ('%s')" % txt或" ... MATCH ('{}')".format(txt)，然后你会打开一个SQL注入载体，因为你不会在txt被转义元字符。

2013-05-11 20:53:30

相关问题

1. SQLite中的全文搜索
2. SQLite全文搜索目录
3. PhoneGap，SQLite和全文搜索
4. 全文搜索SQL
5. SQL全文搜索
6. 搜索SQL注入日志
7. 在SQLite中为全文搜索索引创建SQL触发器
8. sqlite的重量全文搜索
9. SQL全文搜索查询？
10. SQL XML全文搜索
11. SQL Server全文搜索
12. SQL Compact 4 - 全文搜索？
13. SQL Server全文搜索
14. SQL全文搜索问题
15. sql server - 全文搜索
16. 没有全文索引的SQL搜索
17. 在SQLite中优化全文搜索
18. SQLite FTS3 - 全文搜索多个表
19. 如何在SQLite全文搜索中排除搜索词？
20. 全文搜索sql server输入错误的文字
21. 最快的SQL全文搜索
22. RTF上的SQL Server 2012全文搜索
23. 在json上的sql server全文搜索
24. SQL Server和Oracle中的全文搜索
25. 全文搜索
26. 全文搜索
27. 全文搜索
28. 全文搜索
29. sql server全文搜索奇怪的搜索结果
30. cordova-sqlite-porter importSqlToDb sql注入