Свойство NSString: скопировать или сохранить?
Как вы можете видеть, люди предлагают вам максимально использовать подготовленные заявления. Это не так, но когда ваш запрос выполняется всего один раз за процесс, будет небольшое снижение производительности.
Я столкнулся с этой проблемой, но я думаю, что решил ее в очень сложном пути - как хакеры используют, чтобы избежать использования кавычек. Я использовал это в сочетании с эмулированными подготовленными заявлениями. Я использую его, чтобы предотвратить все возможные типы инъекций SQL. Так, например, запрос: Будет: или Hex - идеальный выход. В комментариях было некоторое обсуждение, поэтому я, наконец, хочу дать понять. Эти два подхода очень похожи, но в некоторых отношениях они немного различаются: Префикс ** 0x ** может использоваться только для столбцов данных, таких как char, varchar, text, block, binary, и т. д. Кроме того, его использование немного сложно, если вы собираетесь вставить пустую строку. Вам придется полностью заменить его на UNHEX () работает в любом столбце; вам не нужно беспокоиться о пустой строке. Обратите внимание, что этот шестиугольный метод часто используется как атака SQL-инъекции, где целые числа точно так же, как и строки Например, если вы просто делаете что-то вроде этого: атака может очень легко ввести вас . Рассмотрим следующий введенный код, возвращенный из вашего скрипта: SELECT ... WHERE id = -1 union all select table_name from information_schema.tables и теперь просто извлеките структуру таблицы: SELECT ... WHERE id = -1 union all select column_name from information_schema.column где table_name = 0x61727469636c65 И тогда просто выберите нужные данные. Разве это не круто? Но если кодер инъекционного сайта будет шестнадцатеричным, инъекция не будет возможна, потому что запрос будет выглядеть следующим образом: Мой подход:
sprintf("SELECT 1,2,3 FROM table WHERE 4 = %u", $input); mysql_hex_string() , в PHP вы можете использовать bin2hex() . Не беспокойтесь о том, что экранированная строка будет иметь размер в 2 раза по сравнению с исходной длиной, потому что даже если вы используете mysql_real_escape_string, PHP должен выделять одну и ту же емкость ((2*input_length)+1), что то же самое. 0x или использовать функцию MySQL UNHEX. SELECT password FROM users WHERE name = 'root'
SELECT password FROM users WHERE name = 0x726f6f74
SELECT password FROM users WHERE name = UNHEX('726f6f74')
Разница между функцией UNHEX и префиксом 0x
'', или вы получите сообщение об ошибке. Hex-методы часто используются в качестве атак
mysql_real_escape_string. Тогда вы можете избежать использования кавычек. "SELECT title FROM article WHERE id = " . mysql_real_escape_string($_GET["id"])
SELECT ... WHERE id = UNHEX('2d312075...3635')
2 ответа
Для атрибутов, тип которых является неизменным классом значения, который соответствует NSCopying протокол, почти всегда необходимо определять copy в Вашем @property объявление. Определение retain является чем-то, что Вы почти никогда не хотите в такой ситуации.
Вот то, почему Вы хотите сделать это:
NSMutableString *someName = [NSMutableString stringWithString:@"Chris"];
Person *p = [[[Person alloc] init] autorelease];
p.name = someName;
[someName setString:@"Debajit"];
текущее значение Person.name свойство будет отличаться в зависимости от того, объявляется ли свойство retain или copy —, это будет @"Debajit", если свойство отмечено retain, но @"Chris", если свойство отмечено copy.
С тех пор почти во всех случаях Вы хотите к [1 116], предотвращают видоизменение атрибутов объекта за его спиной, необходимо отметить свойства, представляющие их copy. (И если Вы пишете метод set сами вместо того, чтобы использовать @synthesize, необходимо не забыть на самом деле использовать copy вместо [1 115] в нем.)
Копия должна использоваться для NSString. Если это Изменяемо, то это копируется. Если это не, то это просто сохраняется. Точно семантика, которую Вы хотите в приложении (позволяют типу сделать то, что является лучшим).