sql - 在你自己的 iPhone 上防止 sqlite 注入(inject)攻击？

当数据保存在某人的 iPhone 和云上的远程数据库之间时，我总是对 SQL 注入(inject)攻击采取预防措施。

但是是否也有必要做同样的事情......当只是将数据(使用sqlite)从某人的手机保存到他们自己手机上的数据库时？

他们能做的最坏的事情是什么？在自己的手机上删除自己的数据(或表格)？
(如果他们真的足够努力。)

谢谢。

最佳答案

有必要吗？ - 是的，它是“必要的”，即它可能值得。即使您不太关心这种上下文中的安全性(这可能是有效的)，您也应该担心正确性(至少，它的骄傲问题)。

可能发生的最坏情况是什么？

用户 #1 Patty O'Brian 将她的名字输入到一个字段中，该字段混淆了 SQL 调用，但它失败了。程序要么不能很好地处理它，要么用户收到一条关于失败原因的模糊错误消息。

用户#2 输入一个名称来混淆 SQL 调用并且它成功了!该程序现在处于未知状态。

无论哪种方式，现在用户联系支持并消耗时间和精力(用户 #2 从不承认他们做了什么，这使得调试变得更加困难)和/或要求退款。

关于sql - 在你自己的 iPhone 上防止 sqlite 注入(inject)攻击？，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/2649094/