我必须保护我的软件不受SQL注入的影响。
下面是我的C代码示例:
char myquery[QUERY_LEN];
sprintf(myquery, "select * from patient p where p.id_doc='%s'", us_names[index].name);
if (mysql_query(conn, myquery )) {
fprintf(stderr, "%s\n", mysql_error(conn));
exit(1);
}
我想使用准备好的语句,因为我读过这是最好的解决方案,但我不明白它是如何工作的。
我用的是谷歌,但在C语言中找不到任何例子。
你能用我的代码给我举个例子吗?
最佳答案
欢迎来到这里。您将找不到完整的代码示例。只是普通的例子。如果你想了解更多关于防止代码注入的知识,那么google是针对这个主题的,而不是针对你的特定问题。
一些文章:
how to prevent SQL Injection in c language?
SQL Injection Attacks and Some Tips on How to Prevent Them
SQL Injection Prevention Cheat Sheet