广告合作QQ：76874919

• 首页
• 技术问答
• 编程语言
• 前端开发
• 移动开发
• 开发工具
• 程序设计
• 行业应用
• CMS系统
• 服务器
• 数据库
• 面试题
• 菜鸟教程
• 操作系统

intsqlite3_bind_blob(sqlite3_stmt*,int,constvoid*,87); background-color:inherit; font-weight:bold">intn,153); background-color:inherit; font-weight:bold">void(*)(void*));

绑定一个任意长度的BLOB类型的二进制数据。（BLOB：二进制大对象，相当于一个可以存储大量二进制数据的容器。）

intsqlite3_bind_double(sqlite3_stmt*,87); background-color:inherit; font-weight:bold">double);

绑定一个64位浮点值。

intsqlite3_bind_int(sqlite3_stmt*,87); background-color:inherit; font-weight:bold">int);

绑定一个32位有符号整型值。

intsqlite3_bind_int64(sqlite3_stmt*,sqlite3_int64);

绑定一个64位有符号整型值。

intsqlite3_bind_null(sqlite3_stmt*,87); background-color:inherit; font-weight:bold">int);

绑定NULL。

intsqlite3_bind_text(sqlite3_stmt*,153); background-color:inherit; font-weight:bold">constchar*,153); background-color:inherit; font-weight:bold">void*));

绑定一个任意长度的UTF-8编码的文本值，第4个参数是字节长度，注意不是字符长度。如果给第4个参数传递负值，sqlite就会自动计算绑定值的字节长度（不包括NULL结尾符）。

intsqlite3_bind_text16(sqlite3_stmt*,153); background-color:inherit; font-weight:bold">void*));

绑定一个任意长度的UTF-16编码的文本值，第4个参数是字节长度，注意不是字符长度。如果给第4个参数传递负值，sqlite就会自动计算绑定值的字节长度（不包括NULL结尾符）。

intsqlite3_bind_zeroblob(sqlite3_stmt*,87); background-color:inherit; font-weight:bold">intn);

绑定一个任意长度的BLOB类型的二进制数据，它的每一个字节被置0。第3个参数是字节长度。这个函数的特殊用处是，创建一个大的BLOB对象，之后可以通过BLOB接口函数进行更新。

intsqlite3_bind_value(sqlite3_stmt*,153); background-color:inherit; font-weight:bold">constsqlite3_value*);

绑定sqlite3_value结构体类型的值，sqlite3_value结构体可以保存任意格式的数据。

对于text和BLOB类型的bind函数，绑定值传递的是一个buffer指针。通常这个buffer指针一定要保证有效，直到该语句参数绑定了一个新值，或者语句被finalize销毁。对于这两类bind函数的第5个参数是对这个buffer的一个控制。

如果第5个参数传递NULL或者sqlITE_STATIC常量，则sqlite会假定这块buffer是静态内存，或者客户应用程序会小心的管理和释放这块buffer，所以sqlite放手不管。

如果第5个参数传递的是sqlITE_TRANSIENT常量，则sqlite会在内部复制这块buffer的内容。这就允许客户应用程序在调用完bind函数之后，立刻释放这块buffer（或者是一块栈上的buffer在离开作用域之后自动销毁）。sqlite会自动在合适的时机释放它内部复制的这块buffer。

对于第5个参数的最后一种选择是传递一个有效的“void mem_callback(void *ptr)”函数指针。当sqlite使用完这块buffer并打算释放它的时候，第5个参数传递的函数指针所指向的函数将会被调用。比如这块buffer是由sqlite3_malloc函数或者sqlite3_realloc函数分配的，则可以直接传递sqlite3_free函数指针给bind函数的第5个参数。如果是由其它系列的内存管理函数分配的内存，则应该传递其相应的内存释放函数。

针对bind函数使用的索引值，有下面3个非常有用的函数。

intsqlite3_bind_parameter_count(sqlite3_stmt*);

返回一个整数，指明一条语句中所使用的参数的最大索引值。

intsqlite3_bind_parameter_index(sqlite3_stmt*stmt,87); background-color:inherit; font-weight:bold">char*name)

返回一个命名参数（如：":pid"）的索引值。注意这第2个参数是UTF-8编码的，即使针对UTF-16编码的语句，第2个参数也要以UTF-8编码的字符串赋值。如果没有找到匹配名字的参数，该函数返回0。如：

sqlite3_bind_int(stmt,sqlite3_bind_parameter_index(stmt,":pid"),pid);

char*sqlite3_bind_parameter_name(sqlite3_stmt*stmt,87); background-color:inherit; font-weight:bold">intpidx)

返回指定索引参数的文本名称，以UTF-8编码。

intsqlite3_clear_bindings(sqlite3_stmt*stmt)

如果想清空一条语句中所有参数所绑定的值，调用sqlite3_clear_bindings函数，该函数调用之后，语句中所有参数都绑定NULL值。该函数总是返回sqlITE_OK。

如果想确保绑定到参数的值，不会引起内存泄露。最好在每次重置语句时，清空所有参数绑定。

安全性和性能(Security and Performance)

构造一条sql命令字符串，并修改其中的某些值，除了使用上面的语句参数的方式，还有一种方法就是使用诸如c语言的字符串处理函数，如：

snprintf(buf,buf_size,
1. "INSERTINTOpeople(id,name)VALUES(%d,'%s');",
2. id_val,name_val);

假如为id_val,name_va作如下赋值：

id_val=23;
1. name_val="Fred";

则得到的存储在buf中的sql语句如下：

'Fred');

那么使用语句参数的方式，和使用字符串处理函数的方式相比，有什么好处呢？主要有以下三点：

（1） 使用“语句参数”方式，具有更高的安全性，可以有效防止“sql注入攻击”。 “sql注入攻击”要想达到目的，就必须让attack value随着sql命令字符串一起传送进sql解析器。黑客如果在一条sql命令字符串被送入到sqlite3_prepare函数之前，利用c字符串处理函数等途径将attack value注入其中，而在sqlite3_prepare函数之中进行解析（parse），就可以达到攻击目的。而使用“语句参数”方式，被传送到sqlite3_prepare函数的只是sql命令字符串中的参数符号（如：“?”），而不是具体的值。在sqlite3_prepare函数执行之后，才会使用bind函数给参数符号绑定具体的值，这就可以避免attack value随着sql命令字符串一起在sqlite3_prepare函数中被解析，从而有效躲避“sql注入攻击”。

（2）使用“语句参数”方式，可以更快的完成值替换。

（3）使用“语句参数”方式，更节省内存。原因是使用如snprintf函数，需要一个sql命令模板，一块足够大的输出缓存，而且字符串处理函数需要工作内存（working memory），除此之外对于整形，浮点型，特别是BLOBs，经常会占用更多的空间。

示例代码

char*data="";/*defaulttoemptystring*/
1. sqlite3_stmt*stmt=NULL;
2. intidx=-1;
3. /*...set"data"pointer...*/
4. /*...opendatabase...*/
6. rc=sqlite3_prepare_v2(db,"INSERTINTOtblVALUES(:str)",-1,&stmt,NULL);
7. if(rc!=sqlITE_OK)exit(-1);
9. idx=sqlite3_bind_parameter_index(stmt,":str");
10. sqlite3_bind_text(stmt,idx,data,sqlITE_STATIC);
11. rc=sqlite3_step(stmt);
12. if((rc!=sqlITE_DONE)&&(rc!=sqlITE_ROW))exit(-1);
13. sqlite3_finalize(stmt);
14. /*...closedatabase...*/

使用了参数绑定的方式，避免可能的“sql注入攻击”。

潜在的陷阱（Potential Pitfalls）

（1）

INSERTINTOmembership(pid,gid,type)VALUES(:pid,:gid,:type);

这条sql命令字符串在prepare之后，“:pid,:type”这三个参数全部绑定为NULL值。这条语句在执行之前，一定要给这三个参数绑定新的值。假如表membership的type这一列有默认值，那么有的程序员可能会有一个误解，假如上面这条语句在step执行时，参数“:type”绑定的值为NULL，那么最终插入到表membership的列type中的值，应该是该列的默认值。这种假设是错误的，实际插入的就是NULL，而不是该列的默认值。假如type列想插入默认值，正确的写法如下：

（2）

另一种容易引起误用的情况是与NULL值的比较。

copy
SELECT*FROMemployeeWHEREmanager=:manager;

这条语句看起来可以很好的工作，但当参数“:manager”绑定NULL值的时候，这个查询操作将不会检索到任何数据，即使表中存在manager为NULL的行。如果需要manager列与NULL值进行比较，正确的写法如下：

copy
SELECT*FROMemployeeWHEREmanagerIS:manager;

相关文章

SQLite学习笔记

安装 在Windows上安装SQLite。 访问官网下载下Precompliled Binaries for Windows的两个压缩包。 创建s...

windows上如何安装Sqlite

一、安装 下载地址：http://www.sqlite.org/download.html 将Precompiled Binaries for Windows下的包下...

【Android数据存储】SQLite使用实例(附源码)

实例: 会员信息管理 功能：1.查看数据库 2.清空数据库 3.增加会员 4.删除会员 5.更新会员 6.查找会员  ...

SQLite数据库管理

SQLite3常用命令

加密你的SQLite

关于SQLite SQLite是一个轻量的、跨平台的、开源的数据库引擎，它的在读写效率、消耗总量、延迟时间和整...