0

たとえば、この述語フォーマット文字列がある場合、SQL オファーの準備済みステートメントと同じセキュリティ上の利点がありますか?

@"name == $LAST_NAME"

これがコアデータへの不適切な「SQL」インジェクションを依然として許可する単純な愚かな置換であるかどうか、またはこれが最新のデータベーステクノロジーで知られている準備済みステートメントと同じくらい優れているかどうかはわかりません。

4

1 に答える 1

1

あなたはサーバー上で実行されておらず、どのユーザーも sqlite ファイルに完全にアクセスできるため、破壊するセキュリティはありません。

また、これは述語であり、ストアド SQL ステートメントではありません。アプリケーションが述語を実行すると、Core Dataは SQL への変換を行いますが、その変換は保存しません。

要するに、ここで恐れることは何もありません。

于 2010-02-14T17:40:43.330 に答える