Экранирование символов в QT?

Question

al_indigo @al_indigo

Экранирование символов в QT?

Я пишу программу, которая работает с sqlite на QT 5.1. Только что с удивлением обнаружил, что вопреки документации, не происходит вообще никакого экранирования символов при подготовке запросов. То есть если случайно в тексте поставить запятую, кавычки или вообще подставить SQL код, QT никаким образом за этим не следит.

Пример кода для иллюстрации:

QSqlQuery injectTest(db);
QString test("asdasd, asd,' , ");
injectTest.prepare("UPDATE testtable SET text = :text WHERE id = 0");
injectTest.bindValue(":text", QVariant(test));
injectTest.exec();

При этом пытается выполниться следующий запрос (и естественно, он не может пройти):
UPDATE testtable SET text = asdasd, asd,' ,

В документации QT написано следующее: «Besides performance, one advantage of placeholders is that you can easily specify arbitrary values without having to worry about escaping special characters.»

В чём может быть дело? Я где-то лажаю, или это какой-то невероятный баг в QT?

Вопрос задан более трёх лет назад
6039 просмотров

2 комментария

Подписаться 4 Оценить 2 комментария

al_indigo @al_indigo Автор вопроса
тьфу, не до конца скопировал:

UPDATE testtable SET text = asdasd, asd,' , WHERE id = 0

Но это сути не меняет
Написано более трёх лет назад
m08pvv @m08pvv

А это точно не про экранирование символов, которые являются escape-последовательностями?

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

4 комментария

m08pvv @m08pvv

Сам с Qt не развлекался, но в теории должно работать.

Написано более трёх лет назад
m08pvv @m08pvv

Киньте сразу вопрос на форум Qt.

Написано более трёх лет назад
abby @abby
Только что проверил на 5.1.0 все работает как и ожидалось.
Реализация bool QSqlResult::savePrepare(const QString& query) вызывает сомнения в плане эффективности, непонятно зачем два раза query менять, если есть поддержка именованых параметров:

// parse the query to memorize parameter location d->executedQuery = d->namedToPositionalBinding(query); if (driver()->hasFeature(QSqlDriver::NamedPlaceholders)) d->executedQuery = d->positionalToNamedBinding(query);

Не смотря на то, что sqlite вроде как поддерживает биндинг именовыных параметров, реализация sqlite драйвера в Qt это не учитывает, driver()->hasFeature(QSqlDriver::NamedPlaceholders) всегда возвращает false.
Может быть у вас какая-то другая реализация дравйвера, что такое поведение.
Так же советую обратить на формулировку в документации
Both syntaxes work with all database drivers provided by Qt. If the database supports the syntax natively, Qt simply forwards the query to the DBMS; otherwise, Qt simulates the placeholder syntax by preprocessing the query.

В моей версии Qt препроцессинг реализован в виде замены :VVV на ? и сохранения позиций «плэйсходеров», а вашей, судя по вашему комментарию, в виде простой подстановки значений.

Сделайте SSCCE и посмотрите дебаггером, быстрее будет.
Написано более трёх лет назад
al_indigo @al_indigo Автор вопроса

abby: офигеть, и правда (db.driver())->hasFeature(QSqlDriver::NamedPlaceholders); говорит мне, что в моей сборке нет подстановки плэйсхолдеров. Как это может быть, ума не приложу — у меня сборка Desktop Qt 5.1.0 MSVC2010 32bit с сайта, сам я ничего не собирал.

То есть единственное, что я могу сделать, это собрать QT из исходников сам?

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

C#

+2 ещё

Средний
Как правильно реализовать поиск в таблице sqlite и отображение в dataGridView?
- 1 подписчик
- 6 часов назад
- 56 просмотров
0

ответов
C++

+3 ещё

Средний
Почему Qt5 Не открывает БД Sqlite3?
- 2 подписчика
- 7 часов назад
- 92 просмотра
0

ответов
Windows

+1 ещё

Средний
Как вывести изображение с прозрачным фоном WinApi c++?
- 1 подписчик
- 12 часов назад
- 75 просмотров
1

ответ
SQLite

+1 ещё

Простой
SQLite3. Как добавить значение, где user_id равен message.chat.id?
- 1 подписчик
- 12 часов назад
- 27 просмотров
0

ответов
C++

+1 ещё

Средний
Dbeaver C++ connection error?
- 1 подписчик
- 13 часов назад
- 47 просмотров
0

ответов
Qt

+1 ещё

Средний
Как соответствовать LGPL для Qt?
- 2 подписчика
- вчера
- 142 просмотра
1

ответ
C++

Средний
Ошибка double free or corruption (out) Aborted, как исправить?
- 1 подписчик
- вчера
- 47 просмотров
1

ответ
C++

Простой
Как вывести изображение без окна как у Desktop Goose на C++?
- 1 подписчик
- 24 апр.
- 76 просмотров
0

ответов
PHP

+1 ещё

Простой
Где ошибка в коде при создании древа в sql из файла?
- 1 подписчик
- 24 апр.
- 102 просмотра
0

ответов
C++

+2 ещё

Простой
Как исправить стиль линии прокрутки в QScrollArea?
- 1 подписчик
- 24 апр.
- 44 просмотра
1

ответ
Показать ещё Загружается…

Продакт дизайнер в финтех

Module Agency

от 110 000 до 190 000 ₽

Golang developer middle

Posman

До 200 000 ₽

PPC Team Lead Amazon (Senior)

GORA Group

от 2 500 $

Необходимо сверстать приложение согласно макету Figma используя React

26 апр. 2024, в 22:22

1500 руб./за проект

Написать модуль подключения матрицы Sony к ПЛИС (Verilog)

26 апр. 2024, в 21:30

15000 руб./за проект

8266 f12 требуется сделать ревью и оптимизировать работу

26 апр. 2024, в 20:42

2000 руб./за проект

тьфу, не до конца скопировал:

UPDATE testtable SET text = asdasd, asd,' , WHERE id = 0

Но это сути не меняет
А это точно не про экранирование символов, которые являются escape-последовательностями?

Answer 1 · 2013-09-29 16:44:48

m08pvv: эскейп-последовательности он тоже не экранирует, я проверял. Так что вряд ли.

Подозревают, что я что-то делаю не так, потому что нагуглить на эту тему я ничего не смог

Экранирование символов в QT?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт