我正在尝试构建查询字符串或谓词,但我不断收到此错误,
基本上我无法理解的是这很好用:
NSPredicate *pred = [NSPredicate predicateWithFormat:@"(name contains[cd] 'o')"];
但是这个:
NSString *predString = @"(name contains[cd] 'o')";
NSPredicate *pred = [NSPredicate predicateWithFormat:@"%@", predString];
抛出这个:
*** Terminating app due to uncaught exception 'NSInvalidArgumentException', reason: 'Unable to parse the format string "%@"'
【问题讨论】:
标签: objective-c ios core-data nspredicate predicate
%@ 不是谓词格式,它是字符串格式。
NSPredicate *pred = [NSPredicate predicateWithFormat:predString];
【讨论】:
predString 包含用户提供的数据(例如,account == "user%K%@<bindata>" 和user%K%@<bindata> 是攻击者提供的数据),它会向您的代码开放各种格式字符串注入攻击。在任何 ...withFormat: 方法中,您永远不应该使用除常量字符串之外的任何内容。
正如所指出的,%@ 不能在谓词构造中到处使用。但是能够提前构造谓词会很有用。您可以使用#define 来定义它的全部或至少是它的常量部分:
#define kPredicateStr_MovieItem_MoviesInCatalog @"((wishList == NO) AND ((tvEpisode == NO) || (tvEpisode == YES AND (ANY tvSeries.genres.name LIKE 'TV Movie'))))"
然后按原样提供:
itemsViewController.predicate = [NSPredicate predicateWithFormat:kPredicateStr_MovieItem_MoviesInCatalog];
或添加到它:
NSString *predStr = [NSString stringWithFormat:@"%@ AND (%@ CONTAINS \"%@\")", kPredicateStr_MovieItem_MoviesInCatalog, titleForSearch, searchString];
predicate = [NSPredicate predicateWithFormat:predStr];
【讨论】: