Как передать значение перменной

1

2

set item {Com_select}
db1 eval {INSERT INTO t1 ($item) VALUES (2)}

near "$item": syntax error
    while executing
"db1 eval {INSERT INTO t1 ($item) VALUES (2)}"
    (file "./msqpt-beta.tcl" line 378)

Как-то не очень понятно, чего с этим делать? Через dbcmd выкручиваться?

Ссылка

←	g++ повторяемость сборки

D, Go и Rust, взлетит ли что-нибудь?

→

Заключить в кавычки

buddhist ★★★★★
(05.03.15 22:25:26 MSK)

Ответ на: комментарий от buddhist 05.03.15 22:25:26 MSK

table t1 has no column named $item
    while executing
"db1 eval {INSERT INTO t1 ("$item") VALUES (2)}"

anonymous
(05.03.15 23:23:06 MSK)

Ссылка

Прочитай man Tcl:

Если ты хочешь, чтобы внутри строки выполнялись подстановки — заключаешь в кавычки, если не хочешь — в фигурные скобки. В твоём примере надо заменить скобки на кавычки, а не ставить кавычки вокруг строки.

Xenius ★★★★★
(06.03.15 01:54:42 MSK)

Ссылка

db1 eval "INSERT INTO t1 (${item}) VALUES (2)"

qaqa ★★
(06.03.15 04:28:04 MSK)

Ссылка

Всё мимо. Правильно будет так

set cmd "set myinsert {INSERT INTO t1 ($item) VALUES ([lindex $res 1])}"
eval $cmd
db1 eval $myinsert

Tcl is Lisp on drugs.

macumazan ★★
(06.03.15 11:10:07 MSK) автор топика

Ответ на: комментарий от macumazan 06.03.15 11:10:07 MSK

Что не так у варианта qaqa?

Gentooshnik ★★★★★
(06.03.15 12:48:10 MSK)

Ответ на: комментарий от Gentooshnik 06.03.15 12:48:10 MSK

Да , там тоже все норм. Проглядел.

macumazan ★★
(06.03.15 13:19:58 MSK) автор топика

Ссылка

Ответ на: комментарий от macumazan 06.03.15 11:10:07 MSK

Всё мимо. Правильно будет так

Это юмор такой, да?

Вот еще вариант:

db1 eval [format {INSERT INTO t1 (%s) VALUES (%s)} $item [lindex $res 1]]

Ну а вообще - изучите документацию. Ее не так уж и много.

qaqa ★★
(06.03.15 13:29:06 MSK)
Последнее исправление: qaqa 06.03.15 13:35:31 MSK (всего исправлений: 1)

Ответ на: комментарий от qaqa 06.03.15 13:29:06 MSK

Так небезопасно.

Надо так:

set cmd "INSERT INTO t1 ($fieldname) VALUES (\$fieldvalue)"

db eval $cmd

anonymous
(06.03.15 13:45:20 MSK)

Ответ на: комментарий от anonymous 06.03.15 13:45:20 MSK

Так небезопасно.

Почему?

qaqa ★★
(06.03.15 13:58:30 MSK)

Ответ на: комментарий от qaqa 06.03.15 13:58:30 MSK

sql injection? Не, не слышали.

anonymous
(06.03.15 14:03:36 MSK)

Ответ на: комментарий от anonymous 06.03.15 14:03:36 MSK

Как реализовать?

macumazan ★★
(06.03.15 14:24:08 MSK) автор топика

Ответ на: комментарий от qaqa 06.03.15 13:29:06 MSK

Это юмор такой, да?

Написал же Как передать значение перменной (комментарий)

macumazan ★★
(06.03.15 14:26:06 MSK) автор топика

Ответ на: комментарий от macumazan 06.03.15 14:26:06 MSK

Я начал писать ответ, до этого сообщения - поэтому не видел.

qaqa ★★
(06.03.15 14:30:40 MSK)

Ссылка

Ответ на: комментарий от macumazan 06.03.15 14:24:08 MSK

Плохо:

$ tclsh

% package require sqlite3
3.8.7.1
% sqlite3 db :memory:

% db eval {CREATE TABLE t1(id INTEGER PRIMARY KEY, user TEXT, key TEXT, CONSTRAINT uniqline UNIQUE (user,key))}

% set f1 key
key

%set f2 user
user

% set key 123
123

%set user {"kuku"); INSERT INTO t1 (key,user) VALUES (007,"bond"}
"kuku"); INSERT INTO t1 (key,user) VALUES (007,"bond"

% db eval "INSERT INTO t1 ($f1,$f2) VALUES ($key,$user)"

% db eval {SELECT * FROM t1}
1 kuku 123
2 bond 7

Правильно:


% package require sqlite3
3.8.7.1
% sqlite3 db :memory:

% db eval {CREATE TABLE t1(id INTEGER PRIMARY KEY, user TEXT, key TEXT, CONSTRAINT uniqline UNIQUE (user,key))}

% set f1 key
key

% set f2 user
user

%  set key 123
123

% set user {"kuku"); INSERT INTO t1 (key,user) VALUES (007,"bond"}
"kuku"); INSERT INTO t1 (key,user) VALUES (007,"bond"

% set cmd "INSERT INTO t1 ($f1,$f2) VALUES (\$key,\$user)"
INSERT INTO t1 (key,user) VALUES ($key,$user)

% db eval $cmd
% db eval {SELECT * FROM t1}
1 {"kuku"); INSERT INTO t1 (key,user) VALUES (007,"bond"} 123

anonymous
(06.03.15 15:06:39 MSK)

Ссылка

Ответ на: комментарий от anonymous 06.03.15 14:03:36 MSK

sql injection? Не, не слышали.

Про sql injection слышал, хотя мне в моей деятельности с этим сталкиваться не приходится.

Посмотрел документацию на db eval. Да, ваш способ безопаснее, так как подстановка в текст запроса не производится. Любое содержимое переменной будет сразу помещено в базу, без подстановки в текст запроса. Это такой аналог prepared statements?

qaqa ★★
(06.03.15 15:24:09 MSK)
Последнее исправление: qaqa 06.03.15 15:28:13 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	g++ повторяемость сборки

Development

D, Go и Rust, взлетит ли что-нибудь?

→

Похожие темы