Как экранировать кавычки и другие опасные символы для записи в БД

@nill · Регистрация: 16.08.2009

Author24 — интернет-сервис помощи студентам

В переменной типа(класса) string иногда бывают кавычки типо " или '
как можно быстро проверить содержание переменной и как то экранировать
чтобы можно было нормально записать все в базу данных Postgres

знаю есть PQexecParams но не могу найти примеров записи в БД на с++
то что есть на С очень сложно понять и не компилируется

нужны нормальные переменные string без всяких char* итд

Jupiter · 22.07.2012, 14:45

C++

1	std::string query("SELECT * FROM test WHERE field = \"test\"");

C++

1	std::string query("SELECT * FROM test WHERE field = \'test\'");

@nill · 22.07.2012, 14:54 **[ТС]**

Jupiter,
это не то, текст в переменной string заранее неизвестен и надо обрабатывать то что она в себе содержит в процессе выполнения проги

Jupiter · 22.07.2012, 15:03

nill, и что это меняет?

C++

std::string query("SELECT * FROM ");
query += user_var_table_name;
query += " WHERE ";
query += user_var_field_name;
query += " = \'"
query += user_var_field_value;
query += '\'';

ну или используй какие либо интерфесы для работы с БД такие как QtSql, или другие либы, там есть гораздо более удобные фичи для построения запросов

@Петррр · 22.07.2012, 15:08

Jupiter, будет ошибка если user_var_field_value будет в себе содержать кавычки или апострофы.

Jupiter · 22.07.2012, 15:13

Петррр, в чем проблема вставить проверку? я для этого и разбил на части составления запроса для того чтоб показать что:
1) значения полей/таблиц можно брать откуда угодно
2) понатыкать каких угодно проверок в том числе и на валидность значений

@nill 11 / 11 / 2 Регистрация: 16.08.2009 Сообщений: 434
		1
	Как экранировать кавычки и другие опасные символы для записи в БД 22.07.2012, 14:27. Показов 11597. Ответов 5 Метки нет (Все метки) В переменной типа(класса) string иногда бывают кавычки типо " или ' как можно быстро проверить содержание переменной и как то экранировать чтобы можно было нормально записать все в базу данных Postgres знаю есть PQexecParams но не могу найти примеров записи в БД на с++ то что есть на С очень сложно понять и не компилируется нужны нормальные переменные string без всяких char* итд 0

@nill 11 / 11 / 2 Регистрация: 16.08.2009 Сообщений: 434
	22.07.2012, 14:54 [ТС]	3
	Jupiter, это не то, текст в переменной string заранее неизвестен и надо обрабатывать то что она в себе содержит в процессе выполнения проги 0

@Петррр 6280 / 3565 / 898 Регистрация: 28.10.2010 Сообщений: 5,926
	22.07.2012, 15:08	5
	Jupiter, будет ошибка если user_var_field_value будет в себе содержать кавычки или апострофы. 0

Jupiter Каратель 6609 / 4028 / 401 Регистрация: 26.03.2010 Сообщений: 9,273 Записей в блоге: 1
	22.07.2012, 15:13	6
	Петррр, в чем проблема вставить проверку? я для этого и разбил на части составления запроса для того чтоб показать что: 1) значения полей/таблиц можно брать откуда угодно 2) понатыкать каких угодно проверок в том числе и на валидность значений 0