有没有更清洁的方法来做到这一点？ （在 Qt C++ 中准备好的 SQL 查询）

Question

我正在使用 QSqlQuery::prepare() 和 ::addBindValue() 在我正在处理的 Qt 项目中进行查询。有很多重复的代码，虽然我认为这是“正确”的方式，但我想确定一下。也许有人有其他想法？示例：

QSqlQuery newQuery;
newQuery.prepare("INSERT INTO table "
                 "(foo,bar,baz,"
                 "herp,derp,biggerp,"
                 "alpha,beta,gamma,"
                 "etc) VALUES "
                 "(?,?,?,"
                 "?,?,?,"
                 "?,?,?,"
                 "?)");
newQuery.addBindValue(this->ui->txtFoo->text());
newQuery.addBindValue(this->ui->txtBar->text());
newQuery.addBindValue(this->ui->txtBaz->text());
newQuery.addBindValue(this->ui->txtHerp->text());
newQuery.addBindValue(this->ui->txtDerp->text());
newQuery.addBindValue(this->ui->txtBiggerp->text());
newQuery.addBindValue(this->ui->txtAlpha->text());
newQuery.addBindValue(this->ui->txtBeta->text());
newQuery.addBindValue(this->ui->txtGamma->itemText(0));
newQuery.addBindValue(this->ui->txtEtc->text());
newQuery.exec();

您会一遍又一遍地看到一堆相同的“newQuery.addBindValue(this->ui->______”。这是“最好”的解决方法吗？

另外，前几天晚上我在 freenode 上的#qt 中问过，但没有得到明确的答案；以上（::prepare with ::addBindValue）会防止 SQL 注入吗？参考并没有真正说。

Answer 1

如果您首先使用绑定创建QMap 或QStringList，然后遍历该数据结构并为列表/映射中的每个项目调用addBindValue()，它可能看起来更整洁。

Answer 2

关于您关于 SQL 注入的子问题，::prepare 和 ::addBindValue 的组合确实可以完全防止它。这是因为 SQL 引擎从不解析绑定值；它们只是在之后编译（准备步骤）和执行之前插入的值。

当然，从数据库中取出值时也必须小心，但这并不能保护数据库，而是确保这些值不会被用于造成其他恶作剧（例如，注入意外的恶意 <script> 标签进入 HTML，或者更糟糕的是，<blink> 或 <marquee> 怪物）。但这是另一个问题，无论如何都不适用于所有用途。将值放在严格的纯文本 GUI 字段中通常没有问题。