ios-SQL语句注入的情况

运用FMDB框架中选择SQL语句是单条语句去执行，还是多条语句去执行，这个是有讲究的。

就比如说我们写了个函数，然后我们给name参数传入的是"王五',0,0); DELETE FROM T_table; --"，这样的话打印出来的语句就是

INSERT INTO T_Person (name,age,height) VALUES ('王五',0,0); DELETE FROM T_table; --',18,1.7);

这样子的话就相当于是执行了前面的语句之后遇到了分号，然后再去执行了Delete的操作，把表中的数据都删除了。之前就有出现过，在注册用户名的时候，有人这么填写，导致数据删除的操作，所以我们最好选择单句SQL语句执行。其中SQLiteManager.sharedManager是去取单例对象，queue是队列属性

 func demo(name:String)
   {
    //1、书写SQL
    let sql = "INSERT INTO T_table (name,age,height) VALUES ('\(name)',18,1.7);"
    
    print(sql)
    //2、执行SQL语句，这里用Statements是多步执行的意思
    SQLiteManager.sharedManager.queue.inDatabase { (db) in
        db.executeStatements(sql)
    }

使用这个就可以了db.executeUpdate(sql, values: nil)

在SQL中 ? 表示占位符，如果我们执行的语句中有?，SQLite会先去编译SQL，再去执行的时候，会动态的绑定数据，也可以避免注入的情况，当我们如果使用了占位符来操作，

拼接字符串的时候就不用单引号了。

我们可以这么执行

  let sql = "INSERT INTO T_Person (name,age,height) VALUES (?,?,?);"
        SQLiteManager.sharedManager.queue.inDatabase { (db) in
            if db.executeUpdate(sql, withArgumentsIn: ["王五,0,0); DELETE FROM T_Person; --",18,1.9])
            {
                print("插入数据成功")
            }
            else
            {
                print("插入数据失败")
            }