CYFROWY BARON • PROGRAMOWANIE

[mentalmesh]

Witam.
Skladam w aplikacji kod SQL z mniejszych stringow i wykorzystuje go nastepnie w komponencie IBQuery, w zwiazku z czym chciałem zabezpieczyc tekst wprowadzany przez uzytkownika programu np. w polach Edit, przed wprowadzeniem kodu SQL ktory moglby spowodowac uszkodzenie bazy danych.
Prosciej mowiac chodzi o "zablokowanie" znakow specjalnych typu ', \ itd. W PHP służy do tego celu funkcja htmlentities(), czy jest w C++Builder jakas metoda ktora jest odpowiednikiem tej funkcji (i ewentualnie jaka)? Szukalem w helpie i w necie i nie udalo mi sie znalezc takich informacji. Z gory dziekuje za pomoc.

[banita]

wykorzystaj parametry. w kodzie masz zapytanie np:

SELECT * FROM xyz WHERE x = : PARAM;

i usee podaje to param a ty ten parametr ladujesz do swojego zapytania. wtedy user moze podac dowolna tersc. jesli bedzie zle to zapytanie nie zwroci wyniku ale nic nie moze sie zepsuc.
musisz zerknac jak definiuje sie parametry w uzywanych przez ciebie komponentach, nie wiem czy : PARAM czy jakos ianczej.

[Corvis]

Moim zdaniem lepiej zrobić procedury składowane SQL i je tylko wywoływać z odpowiednimy parametrami.

[polymorphism]

czy jest w C++Builder jakas metoda ktora jest odpowiednikiem tej funkcji (i ewentualnie jaka)?

A cóż za problem napisać sobie funkcję, która będzie zamieniać znaki na jakieś bezpieczne kody/sekwencje? Może coś w stylu kodowania URL?

[usermaw]

czy jest w C++Builder jakas metoda ktora jest odpowiednikiem tej funkcji (i ewentualnie jaka)?

A cóż za problem napisać sobie funkcję, która będzie zamieniać znaki na jakieś bezpieczne kody/sekwencje? Może coś w stylu kodowania URL?

Czyli np użyć porady Barona: http://cyfbar.republika.pl/chain.html#chain21 I pozamieniać wartości wzorcowej tablicy.

[polymorphism]

Nie bardzo. Tamta funkcja usuwa cyfry ze stringa, a mentalmesh chce zamienić pewne znaki na jakąś bezpieczną formę, ale w taki sposób, żeby móc z powrotem odtworzyć stringa w oryginalnej formie - w każdym razie tak to rozumiem. Oczywiście funkcją StringReplace da się wykonać to zadanie, ale można zrobić to optymalniej, zważywszy, że podmieniamy znaki, a nie stringi:

Kod: Zaznacz cały

string& url_like_encode(string &s1)
{
   string s2;
   char tmp[] = "%XX";

   for(string::iterator i = s1.begin(); i != s1.end(); ++i)
   {
      if(strchr("%,`\\ :",*i))
      {
         sprintf(tmp + 1,"%02X",*i);
         s2 += tmp;
      }
      else s2 += *i;
   }

   s1.swap(s2);
   return s1;
}

---

No i to:

Kod: Zaznacz cały

AnsiString tab[] = {"0", "1", "2", "3", "4", "5", "6", "7", "8", "9"};

Wiem wiem, czepiam się

[usermaw]

No czepiasz się niemiłosiernie
Taki problem zamiast cyferek w tablicy wpisać cos innego?
Poza tym moze to byc równie dobrze tablica char, w tym przypadku.

W zdarzeniu onChange Edita zapisywac do jakiegoś stringa, zanim zostanie znak podmieniony.
Po co w takim czyms bawic sie w wydajnośc.?

pozdro

[polymorphism]

Taki problem zamiast cyferek w tablicy wpisać cos innego?

Żaden problem, tylko zastosowanie tamtej funkcji jest inne, i tyle...

Poza tym moze to byc równie dobrze tablica char, w tym przypadku.

Otóż to

Po co w takim czyms bawic sie w wydajnośc.?

Nie w tym rzecz. Jeśli chcę znaleźć jakąś literę w stringu, wykorzystuje funkcję/algorytm/metodę, która tę literę mi znajdzie. Nie zastosuje funkcji, która w tekście będzie mi wyszukiwać inny tekst. Nie szukam przecież fraz czy wyrazów a konkretne znaki. To nie jest żadne optymalizacyjne hokus pokus, dobieram odpowiednią metodę do konkretnego zadania. A że przy tym samym nakładzie pracy zyskuje na wydajności... to chyba dobrze, nie?